Terug naar Insights

Insights · Standpunt

Waarom audits geen continuïteit bewijzen

Een audit toont aan dát maatregelen bestaan. Niet óf ze werken wanneer het misgaat. Dat is een wezenlijk verschil.

Truestate · 5 min lezen

Vitale organisaties worden goed gecontroleerd. ISO-certificeringen, interne audits, compliance-programma's rond Wwke, CER en NIS2. Dat is waardevol werk en het hoort erbij. Maar het beantwoordt een andere vraag dan veel bestuurders denken.

Een audit beantwoordt: bestaan de maatregelen, en voldoen ze aan de norm? De vraag die een bestuurder 's nachts wakker houdt is een andere: blijft onze dienstverlening overeind als het misgaat? Die twee lijken op elkaar, maar ze zijn het niet.

Wat een audit van nature niet ziet

Een audit kijkt naar de aanwezigheid en opzet van controls, meestal op basis van documentatie en interviews. Daardoor blijven juist de dingen onzichtbaar die bepalen of het in de praktijk werkt:

  • Gedrag onder druk. Of mensen onder tijdsdruk en met onvolledige informatie daadwerkelijk doen wat de procedure veronderstelt.
  • Besluitvorming. Of er op het moment zelf iemand bevoegd én bereikbaar is om te beslissen, en of die beslissing snel genoeg valt.
  • Stille afhankelijkheden. De leverancier, het systeem of de ene medewerker waar veel van afhangt maar die nergens als kritiek staat genoteerd.
  • Samenloop. Wat er gebeurt als meerdere aannames tegelijk breken, in plaats van één gecontroleerd scenario.

Een groen vinkje is geen garantie

Een organisatie kan volledig compliant zijn en alsnog vastlopen bij een reële verstoring. Omgekeerd kan een organisatie met een paar openstaande auditpunten in de praktijk uitstekend standhouden. Compliance en continuïteit correleren, maar ze zijn niet hetzelfde, en de afstand ertussen wordt zelden gemeten.

Een audit toont aan dat maatregelen bestaan. Validatie toont aan of ze werken.

Compliance als bijproduct, niet als doel

Truestate is geen auditbureau en geen compliance-adviseur. Wij toetsen geen documentatie, maar gedrag, besluitvorming en operationele realiteit. Wanneer je continuïteit aantoonbaar valideert, wordt aantoonbaarheid richting toezichthouder en RvC een bijproduct, niet andersom.

Voor sectoren met hoge continuïteitsdruk, zoals drinkwater, is dat het verschil tussen "we voldoen aan de eisen" en "we weten dat we blijven leveren".

Vertrouwelijk gesprek

Weet u of uw maatregelen ook echt werken?

Wij valideren of plannen, mensen en besluitvorming standhouden wanneer het erop aankomt.

Plan een gesprek