Vandaag leg ik je uit wat beheersmaatregelen zijn en welk onderscheid er wordt gemaakt.

Definitie van beheersmaatregelen

Allereerst: wat zijn het? Beheersmaatregelen is de Nederlandse term voor het Engelse controls: het gaat om maatregelen die je neemt ter beheersing van één of meerdere risico’s. Het zijn dus precies dezelfde concepten. In het Engels betekent beheersen to control, terwijl het Nederlandse controleren in het Engels to check is. Dit zorgt vaak voor verwarring. Een control/beheerrsmaatregel heeft ten doel een risico in te perken, niet om te controleren of het zich heeft voorgedaan, noch om te controleren of medewerkers zich wel aan de voorschriften houden. In de rest van dit artikel zal ik over controls spreken.

Verschillende onderverdelingen

Veel mensen maken onderscheid tussen verschillende controls. Dit kan heel nuttig zijn, omdat controls soms een andere functie hebben, of op een andere manier werken. Hiermee kun je makkelijk een complete set aan controls samenstellen die goed op elkaar inhaken.

1. Het meest gebruikte onderscheid is die tussen preventieve, detectieve en repressieve controls. De namen geven het eigenlijk al aan: preventieve controls beïnvloeden vooral de kans dát een risico zich voordoet: denk hierbij aan het verbod op roken bij een tankstation, dit voorkomt dat er brand of zelfs een ontploffing ontstaat. Detectieve controls richten zich op het ontdekken van een risico. Dit kan vooraf, tijdens of zelfs nadien zijn. Denk hierbij aan een rookmelder, die kan in een vrij vroeg stadium een brand ontdekken en melden. Ten slotte: repressieve controls beperken de impact van een risico. Dit kan de aanwezigheid van blusmateriaal zijn, goed geïnstrueerde BHV’ers, brandvertragend materiaal of een sprinkler installatie.

Deze controls hebben soms een dubbele werking. De brandmelder detecteert niet alleen een brand, maar beperkt ook de schade van een brand doordat je snel kan blussen en heeft daarmee ook een repressieve werking. Camera’s werken bijvoorbeeld ook zo: wellicht bedoelt om inbrekers te betrappen (detectief), maar doordat de pakkans hiermee vergroot wordt heeft het ook een preventieve werking. Van brandwerend materiaal (repressief) zou je ook kunnen stellen dat het een preventieve werking heeft doordat een brand zich uberhaupt niet kan ontwikkelen.

2. Harde en softe controls. Veel mensen hebben geen positieve associatie met softe controls. Terwijl ze alom aanwezig zijn en veel invloed hebben op een organisatie. Je hebt het alleen niet door. Ik leg het altijd uit aan de hand van het volgende voorbeeld: harde controls zijn maatregelen die afgedwongen worden, vaak door middel van fysieke of digitale beperkingen. Het slot op de deur en het wachtwoord van je account zijn goede voorbeelden. Er zijn (als het goed is) maar een beperkt aantal sleutels waarmee het slot open kan, eventueel zijn die sleutels ook nog per persoon toegewezen. Het slot kan, zonder sleutel, alleen nog met een breekijzer o.i.d. opengebroken worden.

Softe controls gaan vaak op basis van vertrouwen en moreel kompas. Het slot van ik net noemde heeft bijvoorbeeld maar twee sleutels in beheer bij twee verschillende medewerkers; de softe control is de afspraak en het vertrouwen dat die sleutels niet gedeeld worden met anderen. Je kunt het niet hard afdwingen, zelfs niet met contractuele afspraken of bijvoorbeeld camera toezicht.

Veel mensen denken dat alleen hard controls werken. Onderstaande foto’s tonen aan dat dat niet het geval is:

In beide gevallen zijn maatregelen genomen om bepaalde gebruikers toegang te ontzeggen. De bovenste is niet volledig uitgevoerd, en in het onderste voorbeeld doorbreekt de gebruiker de maatregel.

3. Manueel en automatisch: vooral in omgevingen waar veel digitaal wordt gewerkt, wordt onderscheid gemaakt tussen manuele controls (uitgevoerd door mensen) en geautomatiseerde controls (uitgevoerd door een programma, of een bot). Dit onderscheid is vooral belangrijk als je achteraf gaan controleren: een bot maakt alleen fouten als dat zo geprogrammeerd is, een mens kan keer op keer een fout maken (en steeds een andere!). Bijvoorbeeld bij de jaarcontroles t.b.v. de jaarcijfers steunen veel externe accountants op geautomatiseerde controls en doen een veel kleinere steekproef voor de geautomatiseerde controls dan voor de manuele controls. Die steekproef wordt pas uitgebreid als blijkt dat de geautomatiseerde control niet goed blijkt te werken.

4. It general en application controls: ook weer in het digitale domein een belangrijk onderscheid. IT general controls zijn maatregelen die voor een hele organisatie worden genomen. Een voorbeeld is dat elke gebruiker om de drie maanden het wachtwoord van hun accounts moet veranderen; deze control geldt dus voor alle applicaties. Een application control is een automatische control (zie #3) die is geprogrammeerd in één applicatie; deze is dus niet actief in de hele organisatie maar alleen binnen één applicatie. Dat geldt ook als de hele organisatie die applicatie gebruikt. Deze controls kunnen ook goed samenwerken: naast het feit dat jij elke drie maanden je wachtwoord moet veranderen, kan er per applicatie ingesteld worden dat er een minimale lengte van het wachtwoord is, en of je speciale tekens moet gebruiken of niet. Deze vereisten kunnen afhankelijk zijn van bijvoorbeeld het type data wat in de betreffende applicatie staat.

Update 21-12-21: lees hier het vervolg.