De waarde van normen

Integriteit. Lastig begrip ongetwijfeld en niet alleen voor de “leek” maar kennelijk ook heel vaak voor zogenaamd ingewijden. Een tijdje geleden kreeg ik van mijn dochter een boek dat haar werkgever heeft gepubliceerd, ach zij vond het niet zo interessant maar dacht dat ik er nog wel wat aan had anders moest ik het maar wegdoen. Geweldig boek! Gaat over de integriteit in (of is het van?) het Nederlandse bedrijfsleven, wel vooral van bovenaf bekeken. Als ik namen noem als Jeroen van der Veer en Jan Hommen zal de meesten wel duidelijk zijn waar de bijdrages vandaan komen. De auteurs hebben in een vraaggesprek vorm een aantal “mensen uit de boardroom” bevraagd over hoe zij integriteit zien en leren af en toe ook hoe er in specifieke bedrijven mee wordt omgegaan. Bij de meesten leveren de auteurs ook nog een vorm van “reflectie”, zeg maar een oordeel. Waarom dit stuk inleiding? Wel, om de simpele reden dat het boek gaat over integriteit, integer zijn (“Ik ben integer, jij bent integer, ISBN9789047007517 ”). 

Alleen blijkt dat volstrekt “simpele” concept, waar we allemaal een intuïtief begrip bij hebben, voor iedereen iets anders in te houden. Iedereen gaat er ook anders mee om. Ergens in het boek constateren de schrijvers dat het over het algemeen best wel tegenvalt met de (interne) controle. En dat is nou juist iets dat voor iemand als schrijver dezes, security consultant, afkomstig uit de interne controle, lastig te bevatten is. Kreten als “vertrouwen moet je verdienen” en “altijd transparant zijn” zijn vaak doeken voor het bloeden. Er kan zoveel achterhaald worden door alle processen binnen een organisatie nauwgezet te volgen maar het blijkt dat dit eigenlijk schokkend weinig gebeurt. Het gaat dan dus niet alleen over het aannemen van een taart die duurder is dan in de regels staat vermeld, het gaat ook om regelrechte omkoping in een Afrikaans land of het nogal door elkaar halen van werk en privé waar recent een wethouder op is gestruikeld of een Statenlid in eerste aanleg is veroordeeld.

Interessant aan het hele verhaal is dat we met zijn allen op een deelgebied als security (informatiebeveiliging) vreselijk strakke normen hanteren waar je voor kunt certificeren maar dat zoiets voor een onderwerp dat –eigenlijk- veel meer impact op een organisatie heeft als “integriteit” er helemaal geen norm is. SOX, Tabaksblatt, Basel-I tm Basel-x hebben ieder voor zich ongetwijfeld toegevoegde waarde maar dat ze zich uitputtend bezig houden met integriteit, nee. Ook binnen de accountantswereld is er (nog) geen eenduidige richtlijn zodat “anything goes”.

Eigenlijk kun je constateren dat we met al ons ge-audit op security misschien wel een beetje aan symptoom bestrijding doen zolang je het totale plaatje niet onder controle hebt. Organisaties zijn samenstelsels van systemen en processen die ieder voor zich natuurlijk veilig (secure) moeten verlopen maar datzelfde geldt voor de interactie –de samenhang- tussen al die onderdelen. Ach, er moet iets te wensen overblijven….