Column: Pas toe of leg uit
In de wereld van compliance, bestuurlijke transparantie en auditing is Pas Toe Of Leg Uit het leidend principe bij uitstek. Het schrijft voor dat als je van de goede gebruiken wil afwijken, dat je uitlegt waarom je dit doet. Je mág afwijken, maar dan moet je wel een goed verhaal hebben, is het idee. Het principe vormt de hoeksteen van het governance denken, zoals bij de overheid voor het gebruik van open source, het EPD en in informatiebeveiliging.
Deze aanpak deugt van geen kanten. Hij steunt op een viertal problematische premissen:
1. Dat mensen niet liegen op papier;
2. Dat lezers over de verantwoording een gewogen oordeel kunnen vormen, waarvoor ze de juiste expertise hebben;
3. Dat lezers kritisch zijn en door de mooie woorden heen kunnen prikken;
4. Dat verantwoordelijken beoordeeld worden op hun resultaten.
1 Mensen liegen niet op papier
Wat je niet kunt verantwoorden, moet je laten. Liegen mag niet, immers. Dit is niet de weg van de minste weerstand; hierover zijn boeken volgeschreven. Kort gezegd: mensen liegen wél, hoewel niet altijd bewust. In tal van varianten, van opleuken, tactisch weglaten en verbloemen in managementspeak tot keihard liegen.
2 Lezers hebben de juiste expertise
De toezichthouder heeft zeer beperkte tijd en middelen om een verhaal te lezen waaraan de opstellers eindeloos kunnen schaven en een legioen van consultants voor kunnen inzetten. Het geheel is sterk asymmetrisch.
3 Lezers zijn kritisch
Mensen zien graag het positieve, ook in wat ze lezen. Kritiek is moeilijk en leidt tot een boel extra gedoe. We houden het graag gezellig.
4 Verantwoordelijken worden aangesproken
In omgevingen waarin coöptatie de norm is (zoals bij commissarissen maar ook in overheid en non-profit) is het hard aanpakken van je gelijken een riskante koers: voor je het weet val je buiten de carrousel van interessante functies. Ook kun je je ineens in een situatie bevinden waarin je iemand moet corrigeren die je zelf benoemd hebt. Daarmee stel je je eigen competentie aan de orde en dat is niet handig.
De zwakte van Pas Toe Of Leg Uit hebben we de laatste tijd een paar keer mooi kunnen zien. De auditoren van woningcorporatie Rochdale stelden vijf jaar geleden al vast dat er grote risico's gelopen werden, wat niet geleid heeft tot enige actie van de raad van commissarissen. De excessen zijn dan ook opgetreden. Zo betaalde Rochdale 46,5 miljoen voor een kantoorgebouw dat enkele maanden daarvoor voor ongeveer de helft van de prijs van eigenaar was gewisseld. Dit is een bekend trucje onder projectontwikkelaars om even wat geld te regelen. Het lijkt erop dat de directeur pas in het vizier kwam toen hij een Maserati aanschafte op kosten van de stichting en de Telegraaf er een artikel tegenaan gooide.
Sinds enkele maanden ligt bij minister Eberhard van der Laan (Wonen, Wijken en Integratie) een voorstel voor een strakker arrangement tussen overheid en corporatiebranche: het advies Meijerink. Een van de aanscherpingen die Meijerink voorstelt is de wettelijke verankering van de sinds 2007 geldende 'Aedes governance code' voor de hele sector. Die code is opgesteld door onder meer de jurist Jaap Winter, bekend van de 'corporate governance code' van de Commissie Tabaksblat. Deze code zal de positie van de auditor versterken en zeker meer toezicht mogelijk maken, maar laat de inherente zwaktes van Pas Toe of Leg Uit ongemoeid. Zo zie je dat een Aedeslid doodleuk schrijft: "We geven in het jaarverslag geen uitgebreid inzicht in de interne risicobeheersing en controlesystemen en de werking hiervan. Wij behandelen jaarlijks tijdens de bespreking van het werkplan de risiconota. Hierdoor is de Raad vroegtijdig in staat om haar controlerende functie goed te kunnen uitvoeren". In de rest van het document wordt een reeks van andere bepalingen net zo makkelijk afgeserveerd. Oftewel, we "leggen uit" dat we de hele code naast ons neer leggen, en daarmee is het klaar. Het erge is ze dat inderdaad aan de gedragscode voldoen.
Aedes, de vereniging van woningcorporaties, noemt het vertrek van de toezichthouders van Rochdale "de juiste conclusie'', aldus voorzitter Willem van Leeuwen. "De inmiddels bekende informatie rechtvaardigt de conclusie dat het toezicht tekort heeft geschoten.'' Volgens hem wil dat nog niet zeggen "dat er reden is om te twijfelen aan de integriteit van de raad. Dat is een andere kwestie.''
Het lezen van bevindingen is een vak apart en als de lezer niet doorvraagt blijft het een papieren tijger. Dat geldt zeer zeker ook in de ICT; een raad van commissarissen of een ministerie moet over een forse dosis vakkennis beschikken om een eigen oordeel te kunnen vormen. Zonder een staf van enige omvang en competentie is Pas Toe Of Leg Uit een lege huls.
Nu kunnen de verantwoordelijken zonder al te veel moeite een dergelijke staf vormen. Maar dat is er nog nooit van gekomen. De enige verklaring die ik hiervoor kan verzinnen is dat het nooit de bedoeling van Pas Toe Of Leg Uit was om méér te zijn dan een lege huls. Compleet bestuurlijk falen mag gewoon, ook uit laksheid of incompetentie. De bestuurders in kwestie mogen bovendien niet op een gebrek aan integriteit worden gewezen. Het begrip bestuurlijke aansprakelijkheid, wat al jaren een lege huls blijkt, is aangevuld met het even vrijblijvende broertje Governance. Pas Toe of Leg Uit is niet meer dan een nieuwe vorm van gedogen en als zodanig een volslagen onbruikbaar sturingsmechanisme voor informatiebeveiliging. We moeten wat anders verzinnen.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
Je mag afwijken.
Laadje opentrekken, en vervalst dosier tevoorschijn toveren..
Het principe doet me een beetje denken aan de DYA architectuurmethode. DYA betekent verplicht toepassen van de vigerende architectuurprincipes, maar je mag ervan afwijken. Mits:
En daar wijkt DYA af van 'apply or explain': je mag afwijken als je dat verklaart, maar daarbij moet je ook wel een migratiepad beschrijven waarbij feitelijk wordt aangegeven wanneer wel voldaan zal worden aan de principes. En daarbij moet in de business case rekening worden gehouden met de kosten van migratie.
De vraag is natuurlijk hoe realistisch ook iets als DYA is. Afwijken wordt gedoogd en gebeurt dan dus ook. Of er ooit gemigreerd wordt naar de formele principes is zeer de vraag.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.