Beleid of Debiel?

Posted on by

 

Beleid is belangrijk, maar wordt vaak niet gevolgd. Beleid is in veel gevallen ook een containerbegrip waar van alles en nog wat onder wordt geplaatst. Tenslotte is er ook binnen organisaties regelmatig kritiek op het beleid. Hoewel toevallig, kan dan af worden gevraagd of het beleid is of debiel, niet voor niets bestaan de woorden uit dezelfde letters.

Er is nooit genoeg beleid

Door alle security, privacy, IT beheersing en vereisten van toezichthouders, wet & regelgeving is er inmiddels een wirwar aan richtlijnen ontstaan en vanuit elk zichzelf respecterende raamwerk, toetsingkader, toezichthouders (ISO, COBIT, AFM, ACM, IFRS, et cetera) worden beleidsstukken gevraagd. Natuurlijk moet u hebben: security beleid, risk beleid, privacy beleid, toegangsbeleid, wachtwoordenbeleid, continuity beleid, HRM beleid, architectuur beleid en zo kunnen we nog een 100 tal benodigde beleidstukken noemen.  Vanuit elke expertise wordt beleid bepaald en die dient te worden gevolgd. Met name stafafdelingen zijn goed in het beschrijven van beleid vanuit de eigen perspectief.

Door het beleid het beleid niet meer zien

Dit enorme aantal beleidsstukken geeft soms slechts regels waaraan voldaan moet worden (een wachtwoord bestaat uit x tekens en moet om de x tijd vervangen worden) en soms is deze uitgebreider en stelt ook doelen middelen en een tijdspad in samenhang en een volledig beleid kent dan ook een beleidscyclus. Wat wij vaak zien is dat de tientallen beleidstukken niet onderling consistent zijn en vaak zelfs tegenstrijdig. Aan de positieve kant, de meeste beleidstukken beogen hetzelfde of overeenkomstige doel waardoor de richting voor de medewerker gelukkig helder is. Hierbij gaan we er gemakshalve van uit dat de medewerker sowieso de beleidstukken kent, gelezen heeft en zich ernaar gedraagt.

5 tips

Er zijn wel een paar eenvoudige handvatten te geven om weg te komen van debiel en toe te gaan naar beleid. Onze tips:

  1. Maak een omgekeerde ‘boom’ structuur van beleidsonderwerpen met een hiërarchische beïnvloeding (bovenliggend beleid is zwaarder wegend dan onderliggend beleid).
  2. Lijnmanagement is verantwoordelijk voor beleid (accountable), dus zij moeten deze begrijpen en kennen. Maar bovenal, ook hieraan gecommitteerd voelen en voorbeeldgedrag tonen. Dus stafafdelingen zijn niet verantwoordelijk, alleen faciliterend!
  3. In lijn met de boom: Beleid boven procedures (basis voor meten en constructie) en procedures boven meet- & beheersmaatregelen (de controlepunten om te meten of je aan je eigen beleid voldoet).
  4. Beleid zonder beheersmaatregelen is gelijk aan Debiel, immers waarom heb je beleid als je er toch niet op stuurt? Dan is het alleen voor de bühne , lees om de controleurs zoet te houden!
  5. Beleid is leidend, dus ook de auditor / controleur dient deze te kennen en zich hier aan te houden (hoewel adviseren hierover altijd goed is).