Waarom volgen IT-ers audit-aanbevelingen zo slecht op?

it-audit

Recent werd ik door een collega management consultant geïnterviewd over het niet of niet-voldoende opvolgen van aanbevelingen die worden gedaan tijdens IT-audits in de farmaceutische industrie. Hier een verkorte weergave van dit interview.

Vraag
IT-audits worden afgesloten met een rapportage bevindingen, risico’s en aanbevelingen tot verbeteringen. De lijn is verantwoordelijk voor het opvolgen van deze aanbevelingen. In de praktijk worden de aanbevelingen vaak niet of onvoldoende opgepakt, waardoor tijdens de audit geconstateerde risico’s blijven bestaan of onvolledig worden gemitigeerd. Dit is een onwenselijke situatie. Wat zijn – bezien vanuit menselijk gedrag – de achterliggende redenen waarom auditaanbevelingen niet of onvoldoende worden opgevolgd?

Antwoord
Ik denk dat het antwoord niet alleen betrekking heeft op het niet opvolgen van de aanbevelingen in het geval van IT-audits, maar op het niet opvolgen van aanbevelingen van audits in het algemeen.

Vanuit de psychologie is het antwoord relatief eenvoudig: Mensen handelen omdat ze (1) worden gedwongen of (2) omdat ze er persoonlijk voordeel in zien. Dwang is voor zich sprekend, maar persoonlijk voordeel is een wat complexer verhaal. Hoe directer de relatie tussen handelen en persoonlijk voordeel, hoe gemotiveerder de persoon in kwestie zal zijn te handelen. Voordeel op de langere termijn is in beginsel minder motiverend, maar als het bijvoorbeeld de gezondheid van het eigen kind betreft, kan de motivatie toch vrij sterk zijn. Kijk je daarentegen bijvoorbeeld naar rokers, dan stel je vast dat de eigen gezondheid voor hen nauwelijks of niet motiverend werkt; ze roken gewoon door (…)

Audits hebben een controlerend karakter: ‘doe je wat je moet doen volgens de procedures/afspraken/regels/wetten/werkinstructies/veiligheidsvoorschriften enz.?’ Gecontroleerd worden roept bij veel mensen het gevoel van ‘niet vertrouwd worden’ op en heeft daardoor vaak een negatief effect. Het is bovendien sterk gekoppeld aan het feit dat de eigen vrijheid van handelen wordt ingeperkt en ook dat wordt doorgaans niet als positief ervaren. Als de auditor nu ook nog vaststelt dat interventies nodig zijn, dan worden die gevoelens onderstreept.

In het geval van IT-audits komt hier nog iets bij: IT-ers kiezen veelal voor een beroep in de informatietechnologie omdat die laatste voor hen zeer aantrekkelijk is: ze bouwen, ontwikkelen, creëren dingen die complex, ingenieus en functioneel zijn. Ze zijn trots op het resultaat en ‘raken opgewonden’ van de technische hoogstandjes die zij anno 2016 weten te realiseren. Ze hebben veelal het gevoel daar ook ontzag mee af te dwingen: de wereld om hen heen begrijpt hun techniek veelal niet en dat geeft nog meer voldoening. Wordt een IT-audit uitgevoerd door een niet-IT deskundige, dan wordt deze als onwetend en irritant ervaren. Stelt deze persoon veel ‘domme’ vragen en geeft hij kritiek om het werk van de IT-er, dan wordt diens weerstand alleen nog maar groter. De IT-auditor en de IT-er staan dan al snel lijnrecht tegenover elkaar. En dat resulteert er vaak in dat hij zich nóg minder geroepen zal voelen de aanbevelingen van de auditor serieus te nemen.

Vraag
Welke interventies kunnen worden gepleegd om die opvolging wel gestalte te geven?

Antwoord
Lukt het de organisatie niet de IT-er ervan te doordringen dat het noodzakelijk is volgens de vastgestelde voorschriften en procedures te werken, dan zal hij zijn eigen aanpak blijven hanteren. Dat is vaak het geval wanneer een organisatie gaande de tijd (meer) standaardiseert en de voorschriften en procedures verandert. Voor de IT-er kan dit betekenen dat de job en het bedrijf waar hij in het verleden voor heeft gekozen veranderen op een manier die hij niet prettig vindt. Langzaam ontstaat een kloof tussen wat hij wil en wat de organisatie van hem wil. In het begin van zijn dienstverband werd hij gewaardeerd voor zijn resultaten; inmiddels lijkt het er voor hem op dat zijn resultaten er niet meer toe doen en dat het alleen maar ‘om de regeltjes en de papierkraam eromheen draait’.

Op zo’n moment ben je aangekomen wanneer de audioaanbevelingen niet of onvoldoende worden opgevolgd. Je zult dan met de IT-er in gesprek moeten en duidelijk maken dat ‘de tijd is veranderd’; zijn werkresultaat is waardevol vermits het op een bepaalde manier tot stand is gekomen. Is dat laatste niet het geval, dan is het niet (meer) voldoende. Als (IT-)voorbeeld zou je kunnen aangeven dat we in het jaar 2000 heel tevreden waren met een 64 Kbps ISDN-verbinding met toegang tot het internet. Die gebruikten we een uurtje per dag (anders werd de telefoonrekening te hoog) en we accepteerden dat die verbinding met enige regelmaat ongewenst verbroken werd en we opnieuw moesten inbellen. Anno 2016 vinden we 256 Mbps (4000 x zo snel) nog net acceptabel en klagen we bij de kabelexploitant (Ziggo, UPC) als de verbinding twee keer per week traag is. Valt de verbinding ook nog één keer per week even weg, dan eisen we compensatie. En dat vindt ook die IT-er heel normaal.

Begrijpt de IT-er de parallel dan is het de vraag of hij bereid is zijn werk zodanig vorm te geven dat het voldoet aan de eisen/wensen van de organisatie – m.a.w. of hij bereid is de audit-aanbevelingen volledig te omarmen. Is hij daartoe bereid, dan is het moment aangebroken om een stuk training aan te bieden. Begin met een awareness sessie en vervolg met praktijkgerichte training. Daarnaast is het van groot belang dat de IT-er ook serieus wordt betrokken bij het kwaliteitsmonitoring, bij de implementatie van controls en de uitvoering van audits zodat hij ‘aware’ blijft en zijn bijdrage kan leveren.

Is hij niet bereid tot aanpassing en/of begrijpt hij niet wat van hem wordt gevraagd, dan is een exit-traject waarschijnlijk de enige optie. Zo’n medewerker komt wellicht beter in een andere omgeving tot zijn recht; een omgeving die zich wellicht buiten de pharma of food bevindt. Kanttekening daarbij is dat de veranderingen op enig moment ook dáár zullen plaats vinden. Als het een jonge IT-er betreft, zal hij/zij hoe-dan-ook in de toekomst met dezelfde situatie worden geconfronteerd. Tja, … dat heeft alles te maken met het kwaliteitsdenken dat het heden én de toekomst kenmerkt.

Vraag
Hoe denk je over de volgende stelling: ‘Het wel of niet slagen van verandering is mede afhankelijk van het gedrag van diverse stakeholders, zoals de opdrachtgever, de objectverantwoordelijke, de auditor en de uitvoerende organisatie.’

Antwoord
Grotendeels mee eens, maar het woord ‘mede’ is hier te interpreteren als ‘overwegend’. Het is aan de stakeholders om te zorgen dat de verandering succesvol vorm krijgt. En als dat betekent dat medewerkers de verandering niet accepteren, dan moeten beide partijen de consequenties daarvan accepteren. Voor de medewerker kan dat demotie of ontslag betekenen. Voor de opdrachtgever, de noodzaak om de medewerker te vervangen of te ontslaan. Maar daaraan vooraf gaat wel de ‘verplichting’ om de IT-er te helpen. Door hem/haar te betrekken, te helpen, te faciliteren en te begeleiden.

Vraag
In hoeverre zijn houding en gedragsaspecten van de auditor van invloed op het al dan doen opvolgen van de aanbevelingen?

Antwoord
Voor de auditor liggen er twee taken: hij moet de opdrachtgever ‘leren’ hoe de vork in de steel zit en dus duidelijk maken waarom de medewerkers de interventie niet omarmen. Hij kan daarbij hulp bieden in de zin van ‘begrip bijbrengen’ maar hij kan de verandering nooit zelf afdwingen of implementeren.

Zijn tweede taak ligt in de goede communicatie richting de medewerkers. Het simpelweg vertellen dat het niet volgens de regels gebeurt of dat het niet goed is, helpt de medewerker niet en roept eerder weerstand op dan begrip. Hij dient zijn functie duidelijk te maken en de bevindingen subtiel te communiceren. Daarbij dient altijd duidelijk te zijn dat de auditor niet het werk van de medewerker als zodanig beoordeeld maar uitsluitend of het resultaat volgens de regels en procedures tot stand komt. Het resultaat van het werk van de medewerker kan immers van topkwaliteit zijn terwijl het vervolgens niet op de markt mag worden verkocht omdat het op de verkeerde wijze (of zonder de nodige bewijsstukken) tot stand is gekomen. Dat laatste is hetgeen de auditor moet vaststellen.

Vraag
In hoeverre wordt de tijdige opvolging van auditaanbevelingen beïnvloed door de houding en gedragsaspecten van de auditor?

Antwoord
Wanneer de auditor zich gedraagt zoals hierboven beschreven, heeft hij zijn best gedaan. Méér kán hij vanuit zijn positie als auditor niet. Omgekeerd betekent het dus dat een afwijkende houding alleen negatief effect zal hebben: probeert hij de medewerker te stimuleren zich aan de regels te houden, dan gaat hij om de stoel van diens chef zitten – dat is gedoemd te mislukken. En als hij niet in staat is zijn eigen positie helder te maken en te houden, dan zal de medewerker hem niet langer serieus nemen en is de kans nóg kleiner dat hij de aanbevelingen gaat opvolgen.

Laatste vraag
Heb je eigen ervaringen in dit vlak?

Antwoord
Ja, Die heb ik opgedaan in verschillende rollen:

  • Hoe ik me opstel als auditor heb ik hierboven beschreven.
  • Hetzelfde geldt voor mijn opstelling als leidinggevende.
  • Als medewerker hebben we denkelijk bijna allemaal ervaring opgedaan. Ik maak daarbij bewuste keuzes: als ik begrijp wat de organisatie van mij wil en ik me daarin kan vinden, dan zal ik de aanbevelingen opvolgen. Kan ik me er niet in vinden, dan maak ik dat duidelijk, In de praktijk betekent dit, dat ik dan op zoek moet naar een andere job of opdracht.
  • Tot slot heb ik er ervaring als consultant: ik heb awareness trainingen verzorgd, procesveranderingen begeleid/voorgesteld en werk als persoonlijk coach waarin ik medewerkers help inzicht te verwerven en vast te stellen hoe ze het beste verder kunnen.