Stel je rijdt op de snelweg achter iemand aan. Na drie kilometer weet je al veel over die bestuurder. Niet door een rijbewijs of een theorieboek te bekijken — gewoon door te kijken. Laat remmen, richtingaanwijzer vergeten, ongemerkt naar de andere rijbaan zwabberen: dat is geen toeval. Dat is hoe iemand rijdt als niemand meekijkt.
Hetzelfde zie je bij organisaties.
Wat je ziet als je goed kijkt
Loop eens door je eigen kantoor. Niet met een checklist. Gewoon kijken.
Een scherm dat niet lockt als iemand opstaat. Een nieuwe leverancier die toegang krijgt tot jullie systemen, zonder dat er ook maar een handtekening is gezet. Een collega die een mail doorstuurt naar zijn privéadres omdat hij thuis wil doorwerken.
Kleine dingen. Maar ze vertellen je iets. Ze laten zien wat er in je organisatie echt gebeurt als de dag gewoon doorgaat en niemand er speciaal op let.
Het probleem met een audit
Een audit is een geplande meting. Iedereen weet wanneer hij komt. De auditor stelt vragen, bekijkt documenten, houdt gesprekken. Alles wat hij ziet, is door de organisatie samengesteld voor het moment dat hij kijkt.
Dat maakt audits waardevol — voor wat ze meten. De intentie van je organisatie, de structuren die zijn opgezet, wat er op papier staat. Maar een audit meet niet wat je medewerkers doen op een gewone dinsdagmiddag als de agenda vol staat en niemand er bewust bij stilstaat.
Dat rijexamen zegt ook niet veel over hoe iemand rijdt als hij alleen op de snelweg staat. Je ziet het pas als het gewoonte is geworden. Als het onbewust gaat.
Klein signaal, grote conclusie
Een medewerker die zijn scherm niet lockt heeft waarschijnlijk nooit geleerd waarom dat ertoe doet. Of weet het wel, maar merkt dat er nooit iets van gezegd wordt. Beide zijn informatie.
Een leverancier die zonder afspraken toegang krijgt is geen incident — het is een patroon van hoe je organisatie omgaat met risico’s. En een organisatie zonder enige geheimhoudingsafspraken is niet een organisatie die pech heeft gehad. Het is een organisatie die nog niet heeft nagedacht over wat ze eigenlijk te beschermen heeft.
Op zichzelf is elk van die dingen te verklaren. Samen geven ze een betrouwbaarder beeld van waar je organisatie staat dan welk rapport ook.
Wat je hiermee kunt
Je hebt geen consultant nodig om dit te zien. Je loopt er dagelijks langs.
De vraag is niet of je het kunt zien. De vraag is of je het herkent voor wat het is — niet als uitzondering of kleine fout, maar als signaal.
Dus: loop er eens doorheen. Kijk wat je ziet op een normale dag, niet op de dag dat er iemand meekijkt. Wat zou een buitenstaander concluderen over hoe jullie met risico’s omgaan, na vijf minuten rondlopen?
En: ben je tevreden met dat antwoord?