Risicogestuurd IV-management: omgaan met onzekerheid

Risicogestuurd werken begint bij de erkenning dat absolute zekerheid een illusie is. Binnen de informatievoorziening manifesteert onzekerheid zich op verschillende manieren. Enerzijds is er de onvermijdelijke variatie, vergelijkbaar met het weer. Een plotselinge storing bij een cloudprovider of een onvoorziene piek in het gebruik van een burgerportaal zijn gebeurtenissen die tot op zekere hoogte onontkoombaar zijn. Anderzijds is er onzekerheid die voortkomt uit een gebrek aan informatie, kennis of ervaring. Denk aan de adoptie van een nieuwe technologie waarvan de langetermijneffecten op de architectuur nog onbekend zijn.

De kunst voor de IV-professional is niet om deze onzekerheid volledig uit te bannen – dat is onmogelijk en onbetaalbaar – maar om te bepalen waar de ondergrens ligt. Door proactief kennis te verzamelen en ervaringen te delen, kan de onzekerheid worden teruggebracht tot een niveau waarop de organisatie nog steeds slagvaardig blijft.

Maar wat is nu een risico? Want we zien in de praktijk dat deze term vrij vaak gebruikt wordt, maar dat niet altijd eenduidig helder is wat eronder verstaan wordt. Er wordt vaak over verschillende dingen tegelijk gepraat: de oorzaak van een gebeurtenis, de gebeurtenis zelf, de kans dat die gebeurtenis plaats kan vinden of het uiteindelijke gevolg van die gebeurtenis. Ga voor jezelf maar eens na wat je niet allemaal bestempeld als risico's. Risicogestuurd werken schept hier orde in door een risico te definiëren als een onzekere gebeurtenis met een duidelijke oorzaak, een kans van optreden en een effect op de doelstellingen. 

Een onzekere gebeurtenis heeft altijd een oorzaak wat ook nog eens versterkt kan worden op bepaalde manieren. Het maken van een onderscheid in de oorzaken van risico’s helpt om later te beoordelen wat de soort en mate van onzekerheid is, en of die onzekerheid wel te verkleinen is. Om deze oorzaken in kaart te brengen, biedt het HOTRIP-raamwerk een structuur die verder kijkt dan alleen de techniek.

Stel je een scenario voor waarin een essentieel informatiesysteem faalt. De oorzaak kan menselijk zijn (Human), door een foutieve handeling van een beheerder, of organisatorisch (Organizational), omdat de communicatielijnen tussen de business en de IT-afdeling vertroebeld zijn. Misschien is de techniek verouderd (Technological), of dwingen nieuwe regels (Regulations) tot aanpassingen die de stabiliteit onder druk zetten. Door deze factoren, samen met sector-ontwikkelingen (Industry) en druk vanuit de omgeving (Politics), mee te wegen, ontstaat een integraal beeld van de oorzaken van risico's voor de informatievoorziening.

De inschatting van de kans van optreden is altijd subjectief en gaat over waarschijnlijkheid. Hoe waarschijnlijk is het dat een bepaalde onzekere gebeurtenis op gaat treden? Die vraag wordt altijd op basis van kennis, ervaring, intuïtie, onderbuikgevoel, etc. beantwoord en is niet altijd in getallen uit te drukken.

Bij het effect op de doelstellingen kijken we naar de impact van een onzekere gebeurtenis. Deze impact wordt tastbaar wanneer we kijken naar de 'Big 5': de effecten op tijd, geld, kwaliteit, veiligheid en reputatie. Een uitval van een applicatie is immers niet alleen een technisch probleem; het is een incident dat de reputatie van de organisatie fundamenteel kan beschadigen en tot enorme financiële gevolgen kan leiden.

Een van de meest verhelderende aspecten van risicogestuurd werken is de aandacht voor risicoperceptie. Mensen kijken nooit op dezelfde manier naar een dreiging. Een ervaren Functioneel beheerder die onlangs een grote systeemcrash heeft meegemaakt, zal sneller geneigd zijn tot voorzichtigheid vanwege de zogenaamde beschikbaarheidsbias. Recente, heftige ervaringen kleuren de blik op de toekomst. Aan de andere kant kan een optimisme-bias ervoor zorgen dat projectleiders de risico's van een strakke deadline onderschatten, vanuit de overtuiging dat het hen wel zal lukken.

Daarom pleit risicogestuurd werken voor diversiteit in de groepen die risico's inventariseren. Door verschillende 'risicohoudingen' aan tafel te brengen – van een risico-paranoïde beheerder die elk gaatje wil dichten tot een risico-tolerante manager die kansen ziet in vernieuwing – ontstaat een evenwichtig dialoog. Het doel is niet om iedereen op één lijn te krijgen, maar om bewust te worden van de eigen biases en gezamenlijk te bepalen welke risico's acceptabel zijn en waar investeringen in beheersmaatregelen noodzakelijk zijn.

Risicogestuurd werken binnen IV-management is geen statisch document dat in een lade verdwijnt; het is een levende cyclus die nauw verweven is met de dagelijkse operatie. Het begint bij het helder krijgen van de doelen: wat willen we dat onze informatievoorziening faciliteert? Van daaruit worden risico's geïnventariseerd en geclassificeerd op basis van oorzaak, kans en effect. Dit leidt tot concrete beheersmaatregelen, zoals extra autorisatiechecks of verbeterde back-up procedures. Cruciaal in dit verhaal is de evaluatie; werken de maatregelen die we hebben bedacht ook in de praktijk? En hoe dragen we deze kennis over? De overdracht van het risicodossier zorgt ervoor dat de 'zachte' kennis van de ervaren beheerder wordt vastgelegd voor de organisatie van morgen. 

Risicogestuurd werken is daarom niet alleen de oplossing van een simpele formule “risico = kans x gevolg”, maar een voortdurende PDCA-cyclus die ervoor zorgt dat de informatievoorziening niet alleen stabiel is, maar ook wendbaar genoeg is om te reageren op een veranderende wereld.