Risicomanagement helpt digitale innovatie

Over ICT en een hardnekkig misverstand  

“Terwijl de samenleving een digitale groeispurt doormaakt, blijft de overheid steken in oude discussies over een veiliger DigiD of het zoveelste lastige, grote ICT-project. Een overheid die er niet in slaagt op korte termijn een omslag te maken naar een meer innovatieve aanpak, dreigt echter zelf obsoleet te worden.” Zo start een sterk artikel over de uitdagingen van digitale technologie voor overheidsbestuur. Naast veel zinnige woorden bevat het één hardnekkig misverstand. Een punt dat het corrigeren meer dan waard is, juist vanwege de digitale groeispurt die ook de overheid moet maken.

Dr. ir. Martin van Staveren MBA, Kerndocent Risicomanagement, Universiteit Twente & Adviseur Risicogestuurd Werken, VSRM

Een hedendaagse risicomanagement aanpak helpt juist wel om succesvolle innovaties te realiseren, digitaal of anderzijds.

Dr. ir. Martin van Staveren MBA, Kerndocent Risicomanagement, Universiteit Twente & Adviseur Risicogestuurd Werken, VSRM

Uitdaging digitale technologie voor overheidsbestuur 

Het artikel 'Uitdaging digitale technologie voor overheidsbestuur' begint welwillend. Als digitale overheid doet Nederland het helemaal niet slecht. In internationale benchmarks staat Nederland immers steevast in de top tien. Toch bieden resultaten uit het verleden geen garantie voor een zonnige toekomst, aldus Evert-Jan Mulder, Pieter Cloo en Maarten Hillenaar, de drie auteurs. De afgelopen jaren waren ze in verschillende functies betrokken bij de digitale strategie van de Nederlandse overheid. Ze weten dus waarover ze het hebben. Uit hun analyse volgt dat politici, bestuurders en uitvoeringsinstanties, samen 'de overheid', zich (onbewust) in een drie-dimensionele spagaat bevinden. Dit heeft te maken met drie digitale werelden, die ze voor het gemak Digitaal 1.0 t/m 3.0 noemen.  

Van ICT naar smart technology

Digitaal 1.0 is de wereld van het ICT-management, sinds jaren 1960 is ontwikkeld. ICT is in deze klassieke wereld “... vooral de technische spullenboel, waar gespecialiseerde ICT-ers (‘techneuten’) aan te pas moeten komen om de zaak aan de praat te krijgen en te houden.” De wereld van Digitaal 2.0 is kort gezegd die van een overheid waarin verschillende bestuurslagen digitaal met elkaar worden verbonden. Digitaal 3.0 is de huidige de data samenleving. Dit is de wereld van de ‘slimme’ technologie die in een razend tempo onze wereld verovert. En ook de wereld van disruptieve digitale platforms, zoals Uber en Airbnb, de wereld van de bitcoin, en vul het verder zelf maar in. 

Dr. ir. Martin van Staveren MBA, Kerndocent Risicomanagement, Universiteit Twente & Adviseur Risicogestuurd Werken, VSRM

Het is namelijk een hardnekkig misverstand dat risicomanagement innovatie remt, tenminste als we het over risicomanagement 3.0 hebben.

Dr. ir. Martin van Staveren MBA, Kerndocent Risicomanagement, Universiteit Twente & Adviseur Risicogestuurd Werken, VSRM

Misverstand risicomanagement

Om uit de spagaat te raken wordt de overheid een oplossing geboden: het zoeken en vinden van de juiste balans tussen de drie Digi-werelden. Die balans blijkt nu zoek. Via budgetten en kennis krijgen oude manieren van denken en doen teveel aandacht. Er wordt namelijk vooral gehandeld volgens het gedachtegoed en de spelregels van de 1.0-wereld van het ICT-management, ook voor Digitaal 2.0 en 3.0. Dit past niet. En nu komt het, dit wordt geïllustreerd met een voorbeeld:  

“Zo heeft het rapport van de Commissie Elias geleid tot een forse intensivering van het risicomanagement bij de inzet van ICT. Het regeerakkoord van Rutte-III herhaalt dat mantra nog eens. Men vergeet echter dat risicomanagement prima is voor een bepaald type projecten, waarbij de benodigde functionaliteiten op voorhand redelijk duidelijk zijn. ‘One-size-fits-all’ gaat hier echter niet op. Streng risicomanagement is onbruikbaar en zelfs ongewenst bij innovatieve experimenten, waar de risico’s op mislukking juist (moeten) worden ingecalculeerd.

Van klassiek risicomanagement naar risicogestuurd werken

Au, beste auteurs. Hier vallen jullie zelf in precies dezelfde valkuil als de overheid doet. Net als de digitale werelden 1.0 t/m 3.0 zijn er namelijk ook drie werelden van risicomanagement (RM) te onderscheiden. Voor het gemak noem ik ze hier RM 1.0 t/m RM 3.0.

Risicomanagement 1.0
De eerste RM-wereld bevat de klassieke risicobenadering: alle risico’s maximaal vermijden. Dit is zo’n 50 jaar geleden ontstaan en focust meestal op (ingewikkelde) cijfermatige risicoanalyses. Daaruit volgt dan een berekend kans op een risico. Dit volgens een adagium van een zekere Frank Knight uit 1921: een risico is pas een risico als het is te kwantificeren.

Risicomanagement 2.0
In RM 2.0 staat het beheersen van risico’s centraal, waarbij de analyse overgaat in integraal risicomanagement. RM 2.0 is ontstaan na een aantal debacles begin deze eeuw, met Enron als iconisch voorbeeld. De crises vanaf 2007 hebben duidelijk gemaakt dat RM 2.0 ook niet zaligmakend is.

Risicomanagement 3.0
De laatste jaren evolueert dan ook in rap tempo een nieuwe risicobenadering: RM 3.0. Hierin staat omgaan met onzekerheden centraal. Dit betekent, afhankelijk van de context en de doelstellingen van een project, product of dienst, de relevante risico’s verminderen, accepteren, of juist bewust opzoeken. Het laatste om bijvoorbeeld ambitieuze innovatiedoelen te realiseren, die zonder risico niet haalbaar zijn. 

Risicomanagement remt innovatie NIET 

De cruciale vraag is dus welke vorm van risicomanagement de auteurs en tevens de Commissie Elias eigenlijk bedoelen. Is dit RM 1.0, RM 2.0 of juist RM 3.0? En is een dergelijk onderscheid wel bekend en erkend?

risico-definitie ISO 31000 & COSO 2017

Risico is het effect van onzekerheid op het realiseren van doelen.

Het is namelijk een hardnekkig misverstand dat risicomanagement innovatie remt, tenminste als we het over RM 3.0 hebben. Een steeds meer gebruikte risico-definitie, onder andere in de internationale raamwerken ISO 31000 en COSO 2017, is namelijk als volgt: risico is het effect van onzekerheid op het realiseren van doelen. Beschouw die doelen in de meest brede zin van het woord. Het gaat hierbij om effecten van onzekerheid die niet automatisch negatief zijn, zoals in klassieke risico-definities. Nadrukkelijk kunnen ook positieve effecten van onzekerheid met RM 3.0 worden meegenomen. Het benutten van kansen of opportunities dus. Iets wat een ruimtevaartorganisatie als NASA bijvoorbeeld al jaren doet, en ook in Nederland steeds meer voet aan de grond krijgt.

Dr. ir. Martin van Staveren MBA, Kerndocent Risicomanagement, Universiteit Twente & Adviseur Risicogestuurd Werken, VSRM

Juist in situaties met veel onzekerheden en veranderingen is het meer dan ooit van belang om de relevante risico’s tijdig in het vizier te hebben.

Dr. ir. Martin van Staveren MBA, Kerndocent Risicomanagement, Universiteit Twente & Adviseur Risicogestuurd Werken, VSRM

Veerkrachtig managen van projecten én risico's

Risicomanagement 1.0 en Risicomanagement 2.0 is met de genoemde ’one-size-fits-all’ benadering inderdaad vaak niet meer relevant. Dit over de datum zijn beperkt zich overigens niet tot digitaliseringsprojecten. De beschreven RM 3.0 benadering is juist bedoeld om effectief en realistisch te kunnen omgaan met relevante onzekerheden die doelen en ambities kunnen dwarsbomen, of juist versterken. Het staat dus ver van het genoemde strenge risicomanagement, dat onbruikbaar en zelfs ongewenst zou zijn bij innovatieve experimenten.

Rode draad is de factor onzekerheid.
Lees hier

VOER EXPLICIETE RISICODIALOGEN

Juist in situaties met veel onzekerheden en veranderingen is het meer dan ooit van belang om de relevante risico’s tijdig in het vizier te hebben. En om daarbij onderscheid te maken tussen feitelijke onzekerheden, aannames en interpretaties. En om verschillen in risicoperceptie expliciet te maken. Om de focus op ellenlange risicodossiers te verleggen naar aandacht voor expliciete risicodialogen. En om resilience – veerkracht – te organiseren, voor die risico’s die zich onaangekondigd aandienen. Om zo heldere en uit te leggen keuzes te maken om risico’s al dan niet aan te pakken, op een wendbare wijze. En in lijn met een overeengekomen risicobereidheid, vanuit de draagkracht en waarden van betrokkenen. Risicomanagement 3.0 is helemaal niet streng, wel realistisch.

Samenvattend

Risicomanagement 1.0 en risicomanagement 2.0 – representanten van het gangbare risicomanagement - zijn in inderdaad geen maatjes met innovatie. Risicoaversie en verborgen angsten voor missers spelen daarbij vaak een rol. Een hedendaagse risicomanagement 3.0 aanpak helpt juist wel om succesvolle innovaties te realiseren, digitaal of anderzijds. Ik bedank de auteurs dan ook hartelijk voor de kans die ze boden om een hardnekkig misverstand over actueel risicomanagement uit de weg te ruimen. Juist vanwege de digitale groeispurt, die ook de overheid moet maken.

Dr.ir. Martin van Staveren staat voor anders omgaan met risico’s. Hij adviseert organisaties over realistisch en vernieuwend risicomanagement. Ook is hij kerndocent aan de Executive Masteropleiding Risicomanagement en docent van de Master Public Management, Universiteit Twente. In 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet   

Referentie: Uitdaging digitale technologie voor overheidsbestuur. Door: Evert-Jan Mulder, Pieter Cloo en Maarten Hillenaar. Gepubliceerd op ibestuur online, 13 december 2017. 

Chat offline (info)
Om deze functionaliteit te gebruiken:
Accepteer cookies