grc

Inhoud Alle organisaties willen voldoen aan informatiebeveiligings- en privacynormen. Het gebruik van tooling daarbij is anno 2021 essentieel. Audittrail levert samen met Mavim het Compliance Management Framework (CMF). Hoe helpt dit systeem aan deze normen te voldoen, de administratieve last te verminderen én maximaal inzicht te verkrijgen in wat goed of minder goed geregeld is binnen een organisatie? Een gesprek daarover met Ralph Drijver, Business Developer bij Audittrail. Het opzetten van de administratie rondom het voldoen aan informatiebeveiligings- en privacynormen is complex, begint Ralph het gesprek. “Als je naar informatiebeveiliging en privacywetgeving kijkt, zijn er bij alle organisaties extreem veel spreadsheets, Word-documenten en andere informatiebronnen die worden gebruikt en toegepast voor de vastlegging. De administratieve last en druk is hoog maar men moet natuurlijk wel voldoen aan de wet. Dus men moet vastleggen, organiseren en borgen ten behoeve van de verantwoordingsplicht.”   Eenvoudiger en geoptimaliseerd Het is voor beide disciplines essentieel de risico’s te mitigeren en maximaal inzicht te hebben in de staat van compliance, de actualiteit van verplichte en noodzakelijke documenten en de consistentie van de volledige inhoud. Ralph: “Maar kun je dat bereiken door niet de juiste instrumenten toe te passen? In andere woorden: de administratie rond informatiebeveiliging en privacy moet eenvoudiger en geoptimaliseerd worden.”   Tweedimensionaal beeld en drukke officers Door bij informatiebeveiliging en privacy alleen gebruik te maken van bijvoorbeeld Microsoft Office en losse documenten, creëer je volgens Ralph een tweedimensionaal beeld van de staat van compliance. “Dit beschermt de organisatie niet voldoende en levert behoorlijke risico’s op. Daarnaast hebben de privacy- en security officers vaak zo’n administratieve druk en moeten ze zoveel handelingen uitvoeren, dat ze hun adviserende en regievoerende rol amper kunnen oppakken.” “Het is zoals bij een voetbalelftal; iedere speler heeft een of meerdere rollen in het veld. Het schakelen tussen deze rollen levert echter het grootste risico op voor een counter en een tegengoal. En omdat deze officers met zoveel druk te maken hebben en steeds moeten omschakelen, neemt de kans op een fout alleen maar toe.”   Essentiële tooling Gebruikmaken van de juiste tooling is daarom essentieel, gaat Ralph verder. “Dit geeft je organisatie veel meer vrijheid en een hogere mate van control. Informatieonderdelen kunnen eenmalig vastgelegd worden en vervolgens binnen verschillende disciplines worden hergebruikt voor automatische, consistente rapportages en BI-inzichten. Maar ook de verbinding tussen mensen, processen en systemen wordt hierdoor duidelijker. Dat verkrijg je niet wanneer je alleen gebruikmaakt van Excel of Word. Wanneer je vragen kunt beantwoorden zoals ‘wie doet wat en binnen welk proces’, ‘waarom doen we deze handeling’ en ‘welke maatregelen dekken deze risico’s af’, dan heb je een goede tool in huis. De tooling hoort je een driedimensionaal inzicht te bieden zodat je kunt sturen, managen en anticiperen vanuit inzicht en op feiten gebaseerde informatie.”   Verbinding met bredere uitdagingen Daarbij is het belangrijk om met de tooling de verbinding te zoeken met de bredere uitdagingen binnen de organisatie. Ralph: “Heb je deze verbinding niet, dan is een nieuw systeem slechts een pleister op de wond. Stel je voor dat de privacy-afdeling een apart systeem zoekt voor privacymanagement zonder de verbinding te zoeken met de informatiebeveiligingsuitdagingen en het GRC-domein. Dan gaat iedereen zijn eigen systeem hanteren zonder echt de link te leggen naar de organisatiestrategie en het GRC. Het systeem is dan snel niet meer afdoende of te auditen. Het organiseren van de verantwoording of de toetsing hiervan wordt dan wel erg lastig.”   Compliance Management Framework Om organisaties te helpen wél over deze samenhang te beschikken, levert Audittrail het Compliance Management Framework (CMF). Ralph: “Dit is een blauwdruk om vanuit informatiebeveiliging de verbinding te zoeken naar privacymanagement en vice versa. Ook kun je met het CMF de business faciliteren met correcte, overzichtelijke informatie ten behoeve van sturing en besluitvorming. Binnen het systeem wordt de volledige administratieve last van de compliance-administratie afgedekt en verkrijgt de organisatie maximaal inzicht in alle zaken die goed of minder goed geregeld zijn.”   Ondersteuning naar volwassen compliance Voor veel organisaties is nu hét juiste moment om aan de slag te gaan met het CMF, vertelt Ralph: “Men is vaak al druk bezig met alle typen en soorten documenten en spreadsheets, ook al hebben deze als instrument voor informatiebeveiligings- en privacynormen meer nadelen dan voordelen. Vaak zegt men wel eerst ‘de boel op orde’ te willen krijgen voordat een visie wordt gevormd of een serieuze tool wordt aangeschaft. Het tegenargument is: als het in de afgelopen drie jaar – of zelfs langer – niet gelukt is de basis op orde krijgen, waarom zou je dan steeds hetzelfde blijven proberen?” “Ons argument is om het nu andersom te doen en vanuit een vooraf door experts gedefinieerde visie, met een goed instrument te gaan werken aan de volwassenheid van de organisatie. Het CMF neemt organisaties bij de hand en heeft alle inrichtingselementen en inhoudelijke voorwaarden in zich om het project stapsgewijs naar volwassen compliancemanagement te kunnen ondersteunen. Zo investeer je als organisatie juist in een platform wat multidisciplinair kan bijdragen aan deze volwassenheidsreis en de strategische doelstellingen van de organisatie. Dat zal zich dan altijd terugverdienen op meer vlakken dan meetbaar is in droge cijfers.”   Microsoft Office, maar dan geïntegreerd Het CMF is gebouwd op Microsoft-technologie maar maakt gebruik van Mavim. “Dit geeft organisaties bijvoorbeeld de mogelijkheid om processen uit te tekenen in Microsoft Visio, Word of Excel, waarna de processen kunnen worden hergebruikt in andere documentatie. Omdat namelijk alles wordt vastgelegd in een database, is het mogelijk om veel zaken als informatie-element vast te leggen waarna je vanuit één waarheid die informatie kunt toepassen. Bijvoorbeeld in rapportages of in BI-dashboards. Daarnaast is het grote voordeel van Mavim-technologie dat veel zaken heel logisch en begrijpelijk zijn. Het is Microsoft Office, maar dan geïntegreerd in een database. Die herkenning maakt het ook in gebruik een stuk eenvoudiger voor medewerkers.”   Integraal werken aan GRC Op donderdag 8 juli geeft Audittrail tussen 09:00 en 10:30 een webinar over het gebruik van het CMF. “Hierin gaat het met name over integraal werken aan GRC,” sluit Ralph af. “Want alleen als een team win je deze wedstrijd. Naast een visiepresentatie zullen wij ook een demo geven van het platform en de inhoud van onze oplossing. Zo kunnen bezoekers de meerwaarde van het CMF voor de organisatie ervaren, zien hoe je de verplichtingen rondom vastlegging, verantwoording en rapportage afdekt én ervaren hoe het systeem het management faciliteert.”   Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail ondersteunt organisatie met het opzetten van bewustwordingsprogramma’s en biedt organisatie inzicht in het bewustwordingsniveau van haar medewerker. Ben je geïnteresseerd in hoe jouw organisatie reageert op een phishingmail of heb je vragen naar aanleiding van dit artikel? laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet.    

Inhoud Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project waar de nieuwe wetgeving de trigger heeft gegeven om privacy in te gaan richten. Overal werden projectteams samengesteld en er werd gewerkt aan een opzet van privacy met een beleid, procedures, een verwerkingsregister en het organiseren van rechten voor betrokkenen. Vanuit dit projectteam is ook nagedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris gegevensbescherming (FG). Alle verplichte documenten zijn destijds opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam heeft decharge gekregen en de aangewezen Privacy Officer (PO) is zelf aan de slag gegaan. Inmiddels zijn we een paar jaar verder. De projectgroep was natuurlijk een veilige omgeving waar meerdere mensen bezig waren en het belang ervan ook hebben ingezien. Eenmaal uit de projectgroep en terug in het hart van de organisatie razen alle andere prioriteiten en continue veranderingen als een straaljager langs de PO heen. Privacy compliance is ineens één van de vele onderwerpen op de prioriteitenlijst en bovendien een onderwerp wat toch al geregeld was? Dus nu is een ander onderwerp aan de beurt, ook binnen de budgettering.   Situatie Helaas! Privacy gaat niet weg, plichten verminderen niet maar worden alleen maar groter, risico’s bij het niet aantonen van een bepaalde mate van control zijn nog steeds aanwezig. Documenten verouderen en Excel spreadsheets worden niet of nauwelijks bijgehouden of zijn veel te complex geworden. Verantwoordelijkheden liggen nog (steeds) niet in de organisatie maar bij enkele individuen in plaats van bij de proceseigenaren. De vragen die nu gesteld kunnen worden zijn: Waar en hoe dient privacy nu eigenlijk ondergebracht te worden? Hoe kan privacy onderdeel worden van het grotere geheel, het organisatie brede compliance vraagstuk? Hoe kan de afdeling control een grotere rol gaan spelen bij toetsing en implementatie? Steeds vaker zijn organisaties bezig met het zoeken naar softwareoplossingen die ervoor kunnen zorgen dat “het allemaal gemakkelijker” kan worden gemaakt of geautomatiseerd kan worden. Slim om dat te doen! Daar kan ik het niet oneens mee zijn. Alleen, is er ook een strategie geformuleerd die hieraan ten grondslag ligt? Heeft het management en de organisatie uitgesproken aan welke doelstellingen de keus voor een instrument moet gaan bijdragen? En is dit een korte of lange termijnstrategie?   Impact In deze bijzondere tijden is investeren en de juiste keuze maken niet eenvoudig. Nú investeren in een point solution, een goedkoop en klein instrument wat één specifiek vraagstuk, of erger nog, een deel daarvan voor nu even oplost, is dat wel of geen passende oplossing? Misschien wél voor nu, maar dit zal uiteindelijk een desinvestering blijken te zijn, áls deze niet volledig aansluit bij de toekomstvisie en compliance strategie van de organisatie. Alle kosten, duidelijk en verborgen, tijd, verspilling van draagvlak, energie, uren die erin gestoken worden om er later achter te komen (bij een basis audit of assessment) dat het instrument niet volledig voldoet aan de vereisten van informatievoorziening en de verschillende disciplines niet met elkaar verbindt of laat samenwerken. Een investering in een instrument dient altijd bij te dragen aan de duidelijke doelstellingen van de organisatie en dient ook een duurzaam karakter te hebben. Selecteer dus verstandig en laat je helpen bij het maken van de juiste keuze voor jouw organisatie. De afgelopen maanden hebben wij vele organisaties gesproken over de meest logische vervolgstappen om compliance, risicomanagement, informatiebeveiliging en privacy management beter in de organisatie te gaan beleggen. Veel organisaties zijn actief op zoek naar tooling op het gebied van P(I)MS Privacy (Informatie) Management Systeem en/of een ISMS, Information Security Management Systeem. Dit komt met name door nieuwe richtlijnen en eisen vanuit de overheid voor zorginstellingen, GGD en GGZ-organisaties, Lokale en regionale overheden, etc. Met de introductie van de Baseline Informatiebeveiliging Overheid (BIO) is ineens ook ISMS bezig met een hernieuwde opleving. Vanuit de IT-afdelingen worden initiatieven opgetuigd om dit vorm te gaan geven, projecten worden gestart en investeringen in software en/of dure consultants gedaan. Zelfs aanbestedingen worden uitgeschreven met alle kosten die daarbij komen kijken. De keuze waar je ongetwijfeld ook mee geconfronteerd gaat worden als organisatie: Investeren wij in diverse losse software-instrumenten voor deze vraagstukken of kiezen wij ervoor om gebruik te gaan maken van een multifunctioneel en integraal in te zetten platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld en kan het meest bijdragen aan de organisatiedoelstellingen? Dé vraag voor 2021 is voor ons dan ook: “Zet de transitie naar integraal, gecontroleerd (GRC) compliance management door?”. Het magische woord in deze vraag is, wat ons betreft, integraal. De behoefte die uitgesproken wordt bij veel onderzoeken is dat zij de organisatie naar een hoger volwassenheidsniveau willen brengen, vooral als het gaat om risicomanagement en compliance. Hier hoort echter altijd een goede governance bij, ofwel, zonder processen en control ben je aan de leeuwen overgeleverd! De enige oplossing die wij kunnen verzinnen is er één die al vele jaren door de experts geuit wordt, niet eenvoudig, wel noodzakelijk.   “Door de verbinding te zoeken binnen de organisatie tussen processen, (mensen) rollen en verantwoordelijkheden, (systemen) IT-applicatielandschap en datamodellen, (compliance) wet- en regelgeving, normeringen, risico’s, beheersmaatregelen, de audit en control cycli, krijg je als organisatie écht grip op alle verplichtingen die jouw organisatie al heeft en die nog op jouw organisatie afkomen”.    Compliance Management Framework (CMF) Een manier om hiermee te starten is door gebruik te maken van een Compliance Management Framework (CMF) en de verbinding te gaan zoeken tussen de kernafdelingen die hier een belang bij hebben. Het CMF is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden Informatiebeveiliging, Privacy, Risicomanagement, Legal en Governance. Het CMF zorgt ervoor dat je in control komt, bent en blijft over je compliance vraagstukken.   Webinar Van onbewust onbekwaam naar onbewust bekwaam Compliance Management De kernvraag voor iedere organisatie is: ga je als organisatie investeren in diverse losse software-instrumenten voor compliance vraagstukken of kies je ervoor om gebruik te gaan maken van een multifunctioneel en compleet platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld? Klik hier voor meer informatie en aanmelding.   Wil je geïnspireerd worden, feedback geven, de dialoog aangaan? Neem dan contact op! Ook wij leren, zoals iedereen, iedere dag! Ralph Drijver | Telefoon: +31 6 13 84 77 44 | rdrijver@audittrail.nl | www.compliancemanagementframework.nl     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet. Of meld je aan voor het Webinar Compliance in control in de publieke sector.  

Inhoud De rol van software in het consulting vak De bewezen waarde van het Compliance Management Framework Zoals je wellicht weet maakt Audittrail al vele jaren gebruik van software om de klanten duurzaam te faciliteren. Audittrail heeft dan ook het Compliance Management Framework (CMF) gebouwd in een op Microsoft gebaseerd software platform, een best practice gebaseerd op basis van 20 jaar ervaring. Dit artikel is bedoeld om duidelijk te maken; Waarom Audittrail als organisatie ervoor kiest om klanten te faciliteren met software Hoe wij dit doen Wat de meerwaarde hiervan is voor jouw organisatie De “oude” manier van werken, continue verandering Verandering wordt steeds meer gezien als een constante en daarmee als een normaal onderdeel van de bedrijfsvoering. Steeds meer organisaties streven echter naar continu verbeteren in plaats van veranderen puur gebaseerd op ingevingen. De ‘zachte’ kant van organisaties krijgt meer en meer aandacht. Gedrag en interactie tussen (groepen) mensen tot en met klant of leverancier bepalen in grote mate het succes van een verandering. De gewenste verandering motiveert zich dan zelf. Er is sturing, een richting, de lijn en de gebruikers gaan aan de slag. Het is de filosofie van scrum en agile. Met eenvoudige hulpmiddelen, een LEAN- mentaliteit en afspraken over de besluitvorming houdt men de vaart erin. Steeds vaker begint men op deze manier ook te werken ook bij projectmanagement en bij innovaties. Consultancybedrijven die hierbij ondersteunen zijn vaak een beetje “vastgeroest” in hun manier van werken. Anticiperen op alle snelle veranderingen die bij klanten vormgegeven worden, is iets wat een soort allergische reactie kan veroorzaken bij consultants. Hoewel consultants vaak graag faciliterend willen zijn aan de klanten en de scope van de opdracht, is de ervaring van klanten ook dat consultants vaak moeite hebben zich aan te passen als de scope van de opdracht flexibel is of aan de cultuur en dynamische werkwijze van de organisatie. Audittrail doet dit anders! Veel bedrijven verwachten van een consultant dat er uiteindelijk een oplevering plaatsvindt en het resultaat van het project wordt gepresenteerd (PowerPoint), berekend wordt (Excel) en beschreven wordt in een document (Word). De consultancybedrijven en consultants voldoen vaak prima aan de opdracht en laten uiteindelijk een USB-stick, folder op OneDrive en drie ordners met papier achter voor de klant om hiermee verder te gaan. Naar onze (bescheiden) mening is deze manier van werken niet meer van deze tijd of duurzaam genoeg. Klanten verwachten meer van een consultant en dit merken ook wij meer en meer. Over een aantal jaren zal de consultancymarkt volgens onderzoeksbureaus, zoals Gartner en Forrester, zich moeten gaan aanpassen aan deze nieuwe realiteit, zich moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij de klanten. Wij zien deze trend al enige jaren bewegen. Audittrail heeft dan ook mét haar experts al vele jaren geïnvesteerd in het borgen van kennis en kunde in softwareproducten zoals onder andere het CMF.   Onze manier van werken Door kennis, kunde en software te combineren en een oplossing te bouwen die écht van waarde is voor een organisatie in diverse domeinen van compliance, is Audittrail in een unieke positie om van meerwaarde te kunnen zijn. Ons team kan naast het “normale” inhoudelijke advieswerk de uitkomsten en resultaten voor jou borgen in het CMF en dus in de software. Door het kernprincipe van voordoen, samendoen en zelf doen te hanteren leveren wij een toekomstbestendige en duurzame oplossing op waar jij als klant de toekomstige veranderingen en vraagstukken zelf kunt borgen. Naast deze manier van werken, dichtbij onze kernwaarden, hebben wij inmiddels op verzoek van klanten ook een servicemodel ontwikkeld waarmee klanten volledig worden ontzorgd; de managed service. Binnen dit bedieningsmodel neemt Audittrail de functionele, technische en inhoudelijke leiding én eigenaarschap over het CMF voor jouw organisatie: een verlengstuk voor jouw compliance organisatie!   De meerwaarde van het CMF Het Compliance Management Framework (CMF) is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden informatiebeveiliging, risicomanagement, privacy, legal en governance. Alles wat software in de ogen van deze professionals miste, hebben wij er wél in gebouwd! Daarom is de privacy- en security compliance software van het CMF een echte best practice. Met het CMF ben je in control over je privacy- en securityprogramma. De volledige PDCA- cyclus wordt ondersteund; van het vastleggen en laten redigeren van beleid tot het uitvoeren van assessments en van het afleggen van verantwoording tot het registeren van incidenten en datalekken. Het CMF creëert de mogelijkheid om eigenaarschap in de lijnorganisatie te gaan beleggen. Dit kan bijdragen aan een organisatiecultuur en gedragsverandering waarbij men bewust is van governance en compliance en de mogelijke risico’s en maatregelen die hiermee gepaard gaan. In één tool leg je de verbinding tussen privacy- en informatiebeveiligingsvraagstukken en pas je eenvoudig aanvullende normenkaders toe zoals BIC, BIO, ISO27001/2, NEN7510, NIST, ISAE3402, KWH, of HKZ en wetgeving zoals AVG en CCPA. Het zorgt niet alleen voor de verplichte vastlegging, maar maakt ook alle “blinde vlekken” binnen de organisatie zichtbaar. Kortom, het biedt vanuit de procesinrichting inzicht, overzicht en een handvat om in control te raken en blijven van de huidige status en alle mogelijke of noodzakelijke verbeterpunten. Verder faciliteert het CMF je om beter en effectiever samen te werken. Hierdoor worden rollen met elkaar verbonden op strategisch, tactisch en operationeel niveau. Ook het management wordt hierdoor betrokken bij het formuleren en nog beter begrijpen van doelstellingen, de impact van te maken keuzes en men zal steeds meer een “gevoel” kunnen krijgen bij het vakgebied. En…, de informatie is eenvoudig te delen met collega’s!   Wil je meer informatie over hét ideale instrument voor compliance management? Ga dan naar deze pagina. Of kijk op www.compliancemanagementframework.nl     Auteur: Ralph Drijver, Audittrail  

Inhoud Kun je deze en andere risico's voorspellen? Hoe geef je risicogestuurd werken eigenlijk handen en voeten? En helpt het om een grote risicoafdeling op te tuigen? Immers, 'veiligheid ontstaat niet door regels of procedures, maar door het handelen van mensen'. Kwaliteitsmanagement, risicomanagement en procesmanagement, ze raken steeds meer in elkaar vervlochten. Waarbij de methodologische kant teveel nadruk krijgt, en de menskant te weinig. Daar zijn luchtvaartexpert Benno Baksteen en wetenschapper c.q. adviseur Martin van Staveren het over eens. De risico-experts spreken beiden op 19 november a.s. tijdens het Jaarcongres Procesmanagement over risicomanagement.Meer processen, meer complexiteit  In de luchtvaart is risicomanagement bottom-up gegroeid, schetst Baksteen: ‘Veiligheid is in onze sector een levensvereiste: maak je een fout, dan kun je neerstorten en overlijden. Goede processen rond risicomanagement ondersteunen de handelende mens, slechte processen proberen te voorkomen dat iets misgaat. Bij die laatste zie je in praktijk vaak dat mensen zich indekken, niet de schuld ergens van willen krijgen. Het maakt hen niet uit wat er gebeurt, als zij maar geen verantwoordelijkheid hoeven te nemen.’ Het gevolg: bonafide gedrag verandert dan makkelijk in malafide gedrag, zoals we onlangs zagen bij het emissieschandaal rond Volkswagen. ‘In de luchtvaart is dat automatisch op een goede manier gegroeid; piloten en ander personeel moeten verantwoordelijkheid nemen en indien nodig achteraf verantwoording afleggen. Veiligheid ontstaat niet door regels of procedures, maar door het handelen van mensen.’ In het algemeen ziet Baksteen dat organisaties in hun risicomanagement processen te makkelijk op elkaar stapelen. ‘Daarmee maak je het complexer, meer rigide. In veel bureaucratische organisaties redeneren medewerkers: als ik me nou maar aan de regels houd, ben ik nooit het haasje; dan kan het probleem nooit mijn probleem zijn’, aldus Baksteen.Werken aan eigen overbodigheid  Grote risico-afdelingen optuigen helpt dan ook niet, vult Van Staveren aan: ‘Dat hebben we goed kunnen zien bij de banken. Daar ging de afgelopen jaren van alles mis, onder het toeziend oog van complete afdelingen Risk Management en Compliance. Het ‘wegstoppen’ van risicomanagement in aparte afdelingen is een fundamentele fout: ‘Je moet allemaal bezig zijn met risico’s, van hoog tot laag. Want wat is nou eigenlijk een risico precies? Dat is een effect van onzekerheid op de doelen van een organisatie. Dus dat is in wezen neutraal. Omdat iedere medewerker zijn specifieke taken heeft om bij te dragen aan realisatie van die doelen, is iedere medewerker ook verantwoordelijk voor de effecten van onzekerheden om die doelen te bereiken.’ Oftewel, als iedereen dat nou maar gestructureerd en expliciet doet, heb je helemaal geen risicoafdeling of kwaliteitsmanager meer nodig. Idealiter zouden die functies eigenlijk moeten werken aan hun eigen overbodigheid. ‘Met als eindstation dat hun vakgebied integraal onderdeel uitmaakt van de lijn’, stelt Van Staveren. ‘In de overgangsfase heb je wel mensen nodig die dit stimuleren en begeleiden. Een mooie rol voor de huidige risico- en kwaliteitsmanagers.’Bron: Sigma OnlineHoe complex en rigide is risicomanagement binnen uw organisatie? En zijn alle medewerkers daar bezig met risico's, van hoog tot laag? Download hier de whitepaper over integraal risicomanagement

Inhoud Corporaties moeten vandaag de dag wendbaar zijn. Maar wat is dat eigenlijk, wat levert het op en niet onbelangrijk: hoe word je een ‘wendbare corporatie’? Wij vroegen het Teammanager I&a Roland Schweigl van Mooiland: “Wendbaarheid zorgt voor grotere klanttevredenheid en lagere bedrijfslasten.” Mooiland uit Grave heeft de beweging ingezet naar een wendbare corporatie. “Dat betekent onder andere een transitie naar procesgestuurd werken met bijbehorende ICT-aanpassingen,” licht Roland toe. “Wij werken momenteel aan een verbeterde dienstverlening en de verduurzaming van ons bezit. Om een optimale dienstverlening te kunnen leveren, is het belangrijk dat de klantprocessen worden vastgelegd en geoptimaliseerd. Hierdoor bieden we een gelijkmatige en goede dienstverlening aan onze huurders en gaat onze klanttevredenheid omhoog. Tegelijkertijd realiseren wij hiermee een besparing binnen de bedrijfsvoering die wij vervolgens kunnen investeren in het verduurzamen van onze woningen.”   Wendbare organisatie “Een wendbare organisatie is daarbij schaalbaar (kostenbewust), beweegt mee met haar huurders, levert haar bijdrage aan een beter milieu en kan snel inspringen op veranderende wet- en regelgeving. Een voorbeeld is dat sommige huurders soms hun hele leven in een Mooiland-woning leven. Zij willen natuurlijk in elke levensfase optimaal kunnen wonen, daar moeten wij als corporatie op inspelen.” “Door het eerdergenoemde vastleggen en optimaliseren van klantprocessen, kunnen we snel aanpassingen doorvoeren als dat nodig is,” gaat Roland verder. “Het betekent dat je van een traditioneel geleide organisatie zult moeten veranderen naar een procesgestuurde organisatie. Met als uiteindelijk doel: grotere klanttevredenheid en lagere bedrijfslasten.”   Kritische zelfreflectie Met de transitie naar een wendbare corporatie is Mooiland kritischer naar zichzelf gaan kijken. “Daarnaast innoveert een wendbare organisatie meer en beweegt zij snel mee met de maatschappij. Door voortdurend naar de klantprocessen te kijken, kunnen wij onszelf continu verbeteren. Dit doen wij door in contact te zijn met onze huurders – één op één en via huurderkoepels –, eigen medewerkers input te laten leveren op de processen en dit extern te toetsen. Zo wordt het geoptimaliseerde proces in de realiteit getoetst en als het een verbetering oplevert direct vastgelegd. Huurders en medewerkers merken dan meteen de verbetering en hebben hier zelf een bijdrage aan geleverd.”   Vastleggen van processen Voor het vastleggen van haar processen en volledige informatiemanagement maakt Mooiland gebruik van de software van Mavim. “Dit helpt ons bij het inzichtelijk maken van de impact van alle veranderingen die op ons af komen. Als er bijvoorbeeld iets in de wetgeving of in een proces verandert, dan kunnen we direct zien wat voor impact dit heeft op andere processen, onze digitale infra- en informatiestructuur en op rollen en functies.” Roland vervolgt: “Het bijzondere aan de samenwerking met Mavim is de brede groep van specialisten (partners) die vanuit hun eigen vakgebied met hun eigen specifieke best practice oplossingen en door hun gedegen kennis van de Mavim software snelle resultaten kunnen boeken.”   I&a Op de vraag wat de transitie naar een wendbare organisatie betekent voor het gehele ICT-landschap van Mooiland, zegt Roland: “Om de ondersteunende rol van ICT aan de business te benadrukken, noemen wij dit bij Mooiland geen ICT meer maar ‘I&a’. Daarbij ligt er nadruk op de hoofdletter ‘I’ en kleine letter ‘a’. De juistheid van informatie zorgt ervoor dat de organisatie wendbaar blijft. De verregaande digitalisering zorgt ervoor dat de automatiseringsdiensten uitbesteed kunnen worden, waardoor de focus gelegd kan worden op informatie en de compleetheid van data.”   Borgen van risico’s De volgende I&a-stap voor Mooiland was het borgen van Governance, Risk en Control. Roland: “Ook hier ondersteunt Mavim ons bij. Wij zijn hier begonnen met het aanstellen van een interne auditor, en zullen daarnaast het hele GRC-beleid vastleggen in de software van Mavim. Dat doen wij nu ook al met informatiebeveiliging. Hierdoor is het voor de hele organisatie mogelijk om te zien wat er al in control is, hoe, door wie, waarom en wat nog ‘under control’ moet worden gebracht. De risico’s die we lopen en kennen worden vervolgens gepubliceerd en zijn voor iedere medewerker inzichtelijk.” Deze nieuwe I&a-stap is nog niet afgerond bij Mooiland, en Roland vraagt zich af of de realisatie hiervan de afronding van de transitie naar een wendbare corporatie betekent: “Wendbaar worden is wat ons betreft een continu streven.”   Kleine aanpassingen, grote veranderingen Roland sluit af met een advies voor zijn collega corporaties: “Je kunt niet vroeg genoeg beginnen met de transitie naar een wendbare organisatie. Durf daarbij buiten kaders te denken. Heel vaak hoef je niet alleen in grote stappen te denken, maar kun je met kleine aanpassingen ook al grote veranderingen bereiken. Betrek in dat proces je klanten en medewerkers, waardoor de transitie uiteindelijk een succes wordt.”Bron: Johan van den Beld | CorporatieMedia – 1 november 2017