From Global to Local 2017

Onlangs kwam de PRIMO Denktank ‘From Global to Local’ bijeen in Den Haag. De Denktank is een initiatief van de Europese verenigingen UDITEUnion des Dirigeants Territoriaux de l'Europe / European Association for Local Government Chief Executives en PRIMOPublic Risk Management Organisation, de enige vereniging in Nederland die zich richt op risicomanagement in het publieke domeinen heeft in Nederland BNG Bank als partner. Vertrekpunt dit jaar zijn de inzichten in de publieke risico’s verbonden met cyber security en water.

Wereldwijd valt er nogal wat te rapporteren over trends en ontwikkelingen, kansen en bedreigingen, onzekerheden en risico’s met betrekking tot de staat van onze planeet. Het World Economic Forum (WEForum) publiceerde begin januari haar bevindingen in het Global Risks Report 2017.

Conclusie naar aanleiding van de resultaten is dat deze staat zeer zorgelijk is en de aard en omvang van risico’s snel toenemen. De mensheid veroorzaakt spanningen, ontwrichtingen, grootschalige vervuiling en verwaarlozing. De kwaliteit van de aarde en daarmee van onze eigen leefbaarheid komt steeds verder onder druk, zo blijkt uit de analyses. Het rapport geeft de lezer inzicht en doorzicht wat de samenhang der dingen is. De diagnoses zijn feitelijk en scherp.

Het rapport geeft op interactieve wijze burgers en bedrijven, en vooral de bestuurders en managers veel handvatten om te acteren. Het bijzondere van het rapport is dat de politiek - een basiselement van de democratie - steeds meer onderdeel lijkt te worden van het voorliggende risicospectrum. De majeure krachten van ‘macht en invloed’ worden als risicofactoren in het rapport geduid.

Publieke risico’s door het WEForum

Top 5 van risico’s naar waarschijnlijkheid:
  • extreem weer
  • grootschalige en onvrijwillige migratie
  • grote natuurrampen
  • grootschalige terroristische aanslagen en
  • omvangrijke data fraude/diefstal
    Top 5 van risico’s naar invloed:
  • massa-vernietigingswapens
  • extreem weer
  • watercrises
  • grote natuurrampen en
  • het falen in aanpak van klimaatverandering en -adaptatie
  • Reinier van WoerdenDirecteur Processing BNG Bank onderstreept het grote belang van risicomanagement voor gemeenten en provincies als integraal onderdeel van hun besturing en bedrijfsvoering. 'Missie en doelen van PRIMO zijn net als die van BNG Bank gericht op de bevordering van good governance. En dat is harde noodzaak omdat nog te veel aan het toeval wordt overgelaten. Een succesvolle aanpak van cyber security vraagt om gerichte samenwerking, nauwgezette afstemming en governance die werkt en tegelijkertijd betrouwbaar is.'

    Management cyber insecurity
    Lambrecht NieuwenhuizeSecurity Officer BNG Bankpresenteert zijn analyse van het krachtenveld en oorzaken van cyber insecurity en geeft zijn visie op management ervan.

    Ontwrichting organisatie door cyber insecurity

    Cyber insecurity ontstaat door het bewust en actief handelen van actoren zoals criminelen, staten, terroristen, vandalen en hackers. De omvang van de risico’s en de daarbij ingezette middelen worden door hem als als eerste geduid. Hier een voorbeeld van hoe cyber insecurity een organisatie volledig kan ontwrichten.

    Risico’s
    Het Global Risks Report van het World Economic Forum duidt cyber attacks naar waarschijnlijkheid met een 5.5 (op een schaal van 1-6) en naar impact met een 3.5 (op een schaal van 1-4). Hoog dus en dat al jarenlang.

    Het Business Continuity Institute rapporteerde begin 2017 over de top 10 van dreigingen. Van 1 tot 10: cyber attack, data breach, unplanned IT and telecom outages, security incident, adverse weather, interruption to utility supply, act of terrorism, supply chain disruption, availability of talents/key skills en new laws or regulations.

    Ransomware is gemeengoed en nog geavanceerder

    Het National Cyber Security Centre rapporteerde in 2016 over de bronnen van cyberdreigingen en de effecten op overheden en bedrijven. Conclusies:

    • Ransomware is gemeengoed en nog geavanceerder.
    • Cybercriminelen ontwikkelen zich tot geavanceerde actoren en voeren langdurige en hoogwaardige operaties uit.
    • Digitale economische spionage tast concurrentiepositie aan.
    • Actoren zijn erg divers: criminelen, staten, terroristen, vandalen en hackers.
    • Aanvalsvectoren zijn social engineering, phishing, hacking, malware en distributed denial of service (ddos).
    Aanvalsvector ​Doel
    ​social engineering, phishingidentiteitsfraude
    ​hacking​sluis, fraude, diefstal informatie
    ​malware​manipulatie IT (afpersing)
    ​ddos​verstoring diensten (afpersing)

       Overzicht aanvalsvectoren en doelen, leidend naar aantasting van continuïteit van dienstverlening

    The European Network and Information Security Agency komt met een overzicht van bedreigingen in 2016. Op volgorde van ranking zijn dit: malware, web based attacks, web application attacks, denial of service, botnets, phishing, spam, ransomware, insider threat (malicious, accidental), physical manipulation/damage/theft/loss, exploit kits, data breaches, identity theft, information leakage.

    Cybercriminelen ontwikkelen zich tot geavanceerde actoren en voeren langdurige en hoogwaardige operaties uit

    Een cyberaanval kan zich daarbij richten op een object of een asset: de kroonjuwelen, door middel van kwetsbaarheden van en gaten in een systeem of netwerk te benutten. Denk hierbij aan politiek gevoelige informatie, persoonsgegevens, defensie-strategie, keren en beheren (Maassluis), chemische industrie (Botlek, Europoort), internetknooppunten, betalingstransacties en vitale sectoren!

    Een aanval leidt dan tot actuele dreiging met een daadwerkelijke impact, die de dienstverlening ernstig kan aantasten, zoals op het gebied van financiën (schade en herstelkosten), operatie (misbruik van ICT, ontwrichting), reputatie (lagere betrouwbaarheid) en wet- en regelgeving (aantasting privacy, data breach).

    Opzienbarende beveiligingsincidenten van 2016
    Afgelopen jaar is er in de ogen van Nieuwehuize een aantal incidenten dat in meerdere opzichten opzienbarend is en de noodzaak van alertheid verhoogt:

    • Diefstal schijf medische gegevens 800 patiënten – niet versleuteld.
    • Ransomware bij een gemeente gesloten digitaal loket, verstoorde dienstverlening.
    • Digitalisatie patiëntendossier door gedetineerden als gevolg van een kostengedreven besluit.
    • Datalek bij grote gemeente (met name mailverkeer). 
    • Spionage bij defensieleverancier.

    Oorzaken
    De belangrijkste oorzaken van cyber insecurity zijn dat er onvoldoende inzicht in, prioriteit voor en regie is op cyberrisico’s. Volgens het Rathenau instituut (2-3-2017) is de basisbeveiliging cybercrime gemeenten niet op orde. Basismaatregelen zijn niet doorgevoerd, zoals updaten, wachtwoorden, backups. De verantwoordelijkheden binnen de organisatie zijn vaak versnipperd. Het leidt tot onvoldoende weerbaarheid en verhoogde kwetsbaarheid.

    ​Boeven ​Kwetsbaarheid
    ​veel​geen inzicht
    ​ver weg​onvoldoende bescherming
    ​onzichtbaar​onvolledige bescherming
    ​ongrijpbaar​onvoldoende prioriteit
    ​niet vervolgbaar​onvoldoende regie

    Wat lijkt het probleem te zijn bij aanpak cyber security?

    De belangrijkste oorzaken van cyber insecurity zijn dat er onvoldoende inzicht in, prioriteit voor, en regie is op cyberrisico’s

    Factoren
    Het onderliggende probleem van cyber insecurity in organisaties wordt veroorzaaktdoor een breed scala aan persoonlijke, culturele en structurele organisatorische factoren. Nieuwehuize duidt dit treffend als volgt:

    • Onbekendheid: ik wist het niet.
    • Ondeskundigheid: ik begrijp het niet.
    • Onachtzaamheid: Ik lette effe niet op.
    • Angst: ik vind het allemaal te eng.
    • Onverschilligheid: het overkomt mij niet.
    • Onverantwoordelijkheid: het is mijn probleem niet.
    • Onduidelijkheid: ik ben niet verantwoordelijk of aansprakelijk.

    Het feit dat we met internet een open platform hebben ontwikkeld dat het reizen gemakkelijk maakt, gecombineerd met het laconiek gedrag bij aanpak, het feit dat kwetsbaarheden niet verholpen worden en malware zou kunnen worden gezien als een logische tijdbom, leidt tot de reflectie of we nog wel baas zijn over de eigen ICT.

    Van zorg naar weerbaarheid
    Onderstreept wordt de noodzaak om de besturing en de bedrijfsvoering zodanig in te richten dat zeer noodzakelijke maatregelen in organisaties kunnen worden doorgevoerd en vervolgens adequaat kunnen worden beheerd. Daarbij moet over de hele linie en in de volle breedte van de organisatie gewerkt worden en duck-gedrag te allen tijde worden voorkomen.

    Nieuwehuize adviseert het volgende te doen:

    1. Leg de accountability en responsibility op bestuursniveau/businessniveau en niet
      op IT-niveau.
    2. Verlaag kwetsbaarheid van de mens (door awareness en training) en van de techniek (door gaten te dichten door patch management en juiste instellingen (complexe wachtwoorden).
    3. Verlaag kans door gerichte inzet techniek - detectie/protectie - technologie.
    4. Verlaag impact door effectief incident management (damage and reputation control).
    5. Bevorder participatieve leiderschapsstijl met oog op het feit dat de mens als zwakste schakel geldt, stimulerend, motiverend en betrokken. In deze stijl zijn incidenten drivers voor verbetering. Een goed functionerende meldcultuur is cruciaal. Bij het maken van fouten geldt dan vooral ‘niet sanctioneren’.
    6. Werk samen.
    7. Schakel deskundigen in van National Cyber Security Centre.
    8. Deel kennis, zoals sparring met overheid/sector/concullega.

    Benadering BNG Bank
    BNG Bank richt zich op de praktische versterking van de weerbaarheid. Dit doet zij door ten eerste de verantwoordelijkheid én aansprakelijkheid eenduidig te beleggen in de top van de organisatie. Het onderwerp staat dan ook standaard op de bestuursagenda, waarbij de Security Officer direct rapporteert aan het bestuur over de staat van de veiligheid, mogelijke incidenten en voortgang van maatregelen.

    Daarbij richt BNG Bank zich op verlaging van de kwetsbaarheid (kans x impact) door veel aandacht te besteden aan het bewustzijn van de risico’s door te investeren in kennis, houding en gedrag, het consequent up-to-date houden van alle ICT-configuraties en de technologie te kiezen op basis van een gedegen risicoprofiel. De ervaring leert dat het aan het bestuur en management is om een gewenste cultuur van een lerende organisatie te creëren, waarbij het melden en elkaar aanspreken usance is en intern worden gewaardeerd omdat het de organisatie als geheel sterker maakt.

    Vlnr Lambrecht Nieuwehuize, Jack Kruf, Eric Frank, Martin Kuipers. Dagvoorzitter Jack Kruf duidt de voorliggende dilemma’s met betrekking tot goed bestuur en het adequaat adresseren van onzekerheden en risico’s. Kruf: 'De weg naar een high reliability benadering, ingebed in de public governance, ligt voor de hand.' 

    Samenwerking en kennisdeling
    Het is evident dat cyber security geen concurrentie- of competitie-issue tussen organisaties is, maar vooral overstijgend en cruciaal voor sectoren als geheel. Het is zelfs een aspect dat het publieke belang als geheel dient. Samenwerking en kennisdeling op dit punt is dan ook van groot belang. Zo is op dit punt het Financial Institutes–Incident Sharing and Analysis Centre (FI-ISAC) gericht op banken, betaalinstellingen, overheid en politie.

    Er is in dit netwerk een Corporate Information Security Officer (CISO)-overleg ingesteld dat de transparantie bevordert met betrekking tot dreigingen, aanvalsvectoren en incidenten. Het overleg is erop gericht om een kijkje in elkaars keuken te nemen en gezamenlijk te spreken over aanpak, preventie, detectie en response op het gebied van cyber security. Belangrijk is dat je elkaar in een dergelijk overleg durft te vertrouwen.

    Conclusie
    De zorgen met betrekking tot cyber insecurity worden door de leden van de Denktank ten volle gedeeld. De focus op en aanpak van het vraagstuk is bij veel gemeenten nog onder de maat en staat zelfs niet eens in de steigers. De gedegen aanpak van BNG Bank - die zich karakteriseert door het schakelen over verschillende sporen - kan in de ogen van de Denktank model staan. Dit geldt zeker voor de bestuurlijke en ambtelijke verankering. Daarbij kan worden gedacht aan een verantwoordelijk portefeuillehouder Cyber en het ambtelijke beleggen ervan bij de secretaris/algemeen directeur.

    De belangrijkse aanbeveling is dit op de bestuurlijke agenda te plaatsen en het niet te zien als een ICT-probleem maar als strategisch vraagstuk te beschouwen dat zich op concernniveau afspeelt en derhalve alle geledingen van de organisatie betreft. Sterker, het raakt op het gebied van veiligheid en privacy de besturing van het publieke domein, de samenleving, burgers en bedrijven in veel opzichten.

    Als belangrijkste valkuil ziet de Denktank - binnen het haast structurele probleem van overheidsorganisaties - de versnippering van de benadering (zowel bestuurlijk als ambtelijk), het wegwuiven of onderschatten van het probleem, de politieke en bestuurlijke houding van ‘wie dan leeft dan zorgt’, het alsmaar over de huidige bestuursperioden heen willen tillen. Het is geen gelopen race dat wij kunnen en zullen komen tot een adequate adressering met een aanpak die de noodzaak van een gedegen lange termijn aanpak volledig onderschrijft en ten volle recht doet.

    PRIMO

    PRIMO Nederland is een vereniging zonder winstoogmerk en werd opgericht in 2006. De Denktank is opgericht in 2014 om het bewustzijn van significante publieke risico’s te bevorderen en op het leggen van relevante verbindingen tussen experts en organisaties, gericht op concreet handelingsperspectief op met name lokaal en regionaal niveau. Daarmee beoogt zij de kennis van en de ervaring met strategisch risicomanagement als integraal onderdeel van goed openbaar bestuur te versterken, management van publieke waarden te bevorderen en de publieke risico’s te mitigeren.

    Veel lokale en regionale bestuurders, managers en medewerkers zouden bij hun besturing de elders opgedane ervaringen en beschikbare (wetenschappelijke) inzichten beter kunnen benutten door middel van gerichte kennisdeling en een open niet-dogmatische transdisciplinaire dialoog.

    WATERBEHEERRISICO’S

    Martin KuipersSecretaris-Algemeen Directeur van Hoogheemraadschap Hollands
    Noorderkwartier
    verzorgde een presentatie inzake watermanagement gerelateerd aan belangrijke actuele thema's. Hij neemt ons mee naar Zuid-Afrika waar systematisch watertekorten zijn en naar Saksen-Anhalt in Duitsland, waar door hevige regenval de Elbe op grote schaal buiten haar oevers trad en ontreddering op grote schaal veroorzaakte. Kuipers belicht de ernst van het vraagstuk van de klimaatverandering en de noodzaak van een aanpak die werkt langs meerdere sporen.

    Wonen onder zeeniveau is minder logisch dan je denkt

    Onder zijn mails staat naast het prachtige logo van het hoogheemraadschap de veelzeggende tekst: 'Veilig wonen onder zeeniveau is minder logisch dan je denkt'. Het vormt de diepere achtergrond van zijn rijke betoog aan feiten, inzichten, zeker- én onzekerheden tegen de achtergrond van ontwikkelingen in het klimaat. Hij spreekt helder en met open vizier.

    Waterbewustzijn
    Water is een element dat door tal van ontwikkelingen vraagt om een nieuwe meer ketengerichte en vooral integrale bestuurlijke aanpak. Water is een primaire factor voor leven, maatschappelijke samenhang en economische ontwikkeling. Het verloop van de kwaliteit en kwantiteit, zoals ook door het World Economic Forum geduid, is zeer grillig. De nieuwe aanpak begint bij kennis en onderkenning van feiten. De waterschappen vernieuwen in feite al sinds 1022, maar mede door klimaatverandering wordt goed watermanagement snel urgenter. Water is vriend, maar ook vijand. Er is die ongemakkelijke kant van water die het tot een strategische prioriteit maakt. Volgens Kuipers vraagt het in Nederland om nadere bezinning hoe wij onze plannen smeden en uitvoeren.

    Global and local risks
    Het World Economic Forum duidt in haar rapporten van het afgelopen decennium de waterproblematiek in al haar dimensies. Zij duidt ook de complexiteit van het werken in de keten. Grootschalige vervuiling, verlies van zoetwaterbronnen,zeespiegelstijging, wateroverlast, verzilting en droogte eisen steeds meer hun tol op woon- en ondernemersklimaat. Deze aspecten zetten de veiligheid van de samenleving als geheel steeds verder onder druk.

    Water als asset wordt steeds kostbaarder voor ons leven en welzijn. Een kroonjuweel. De impact van klimaatverandering en de invloed van El Niño op regionale en lokale gemeenschappen is groot. Droogte in Zuid-Afrika leidt tot grote dilemma’s hoe met het water om te gaan en vooral te verdelen als energieleverancier enerzijds, anderzijds als basis voor landbouw. Het zet de oogsten en in bredere zin ook het ondernemersklimaat in het land onder grote druk. De wateroverlast vorig jaar toen de Elbe op grote schaal buiten haar oevers trad, leidde dit tot grote ontreddering voor vele gemeenschappen. Die ontreddering is er ook in Zuid-Afrika, maar dan door watertekort.

    In Noord-Holland noemt Kuipers voorbeelden van wateroverlast door hevige regenval in Beverwijk en Heemskerk. Hele wijken kwamen onder water. Daarnaast is er sprake van verzilting op grote schaal door onder meer de toenemende droogte in het gebied (afnemende gemiddelde neerslag) en klopt de stijging van de zeespiegel meer en meer aan de deur van Nederland.

    Aanpak niet eenvoudig
    De meervoudige problematiek die op het water rust maakt de aanpak, de feitelijke governance ervan, tot een ware uitdaging. Over het algemeen is er de maatschappelijke verwachting dat het waterschap de problemen wel oplost, een verwachting die er al eeuwen is. Dat is mooi, maar Kuipers onderstreept dat dit zonder samenwerking met gemeenten en provincies niet is waar te maken. Daarbij en daarnaast is het zaak dat politiek, bestuur, bedrijven en burgers veel meer op één lijn komen als het gaat om maatregelen. De waterschappen zien een rol voor zichzelf om dit waar te maken. Het is hard nodig in een land van veel polders en polderen.

    De poldercultuur in Nederland leidt meer dan eens tot polarisatie van standpunten en belangen

    Het is niet altijd zonder meer mogelijk namelijk. Als voorbeeld noemt Kuipers de dijkverzwaring langs het IJsselmeer. Daar spelen de directe belangen van de aanwonenden en bedrijven die hun stem laten horen en zijn er politici met soms korte lontjes. Terwijl de zachte stemmen van alle inwonenden van het gebied, die het collectieve belang hebben van meer veiligheid, niet hoorbaar zijn. Dat brengt het debat in een onbalans, vindt hij. De overleg (polder-)cultuur in Nederland leidt meer dan eens tot polarisatie van standpunten en belangen. Het is daarbij dan ook niet altijd duidelijk wie wie representeert. Tegelijkertijd zijn er maatregelen nodig waarover geen discussie kan zijn, bezien vanuit het perspectief van veiligheid en bescherming.

    Beheersing
    Er zijn in de ogen van Kuipers twee manieren om onze weg te vinden in het vraagstuk van water: mitigatie of adaptatie. Bij mitigatie gaat het om bescherming van het land en onze bedrijfsvoering en waar het dan toch fout gaat op adequate crisisbeheersing en snel herstel.

    Adaptatie is het alternatief. Het is nog relatief nieuw maar het denken erover wint snel aan invloed. Het is gericht op economische levensvatbaarheid door de krachten - in dit geval van water - te accepteren en de flexibiliteit te tonen om ermee om te gaan. Het biedt veel kansen voor innovatie. Voorbeelden zijn de zilte teelt van gewassen in brakke gebieden, de ruimtelijke planning en inrichting inzake de nieuwe gevangenis in de Zaanstreek, het Datacenter Microsoft bij Agriport in de Wieringermeer en de Hondsbossche Duinen.

    Deze projecten kunnen in de ogen van Kuipers als voorbeeld dienen om lessen te leren en vooral om te inspireren. Omdat het om nieuwe concepten gaat, waarbij nog veel ontdekt en uitgevonden moet worden, is het belangrijk dat de overheid subsidiemogelijkheden biedt om een adaptatie-strategie over een breder front mogelijk te maken. Deze benadering geldt ook voor het drinkwater. De voorraad drinkbaar water neemt af of komt geleidelijk aan onder druk, zoals bijvoorbeeld in Noord-Brabant. Daar dringen in het verleden gebruikte pesticiden geleidelijk door tot de diepere watervoerende lagen. Bescherming van zoetwater wordt een majeur vraagstuk. We doen er wijs aan om zuinig te zijn op wat we hebben en in versneld tempo ook hier alternatieven te ontwikkelen.

    Dilemma’s
    De waterproblematiek, die zich doorontwikkelt, plaatst in zijn ogen voor bestuurders en managers een aantal kerndilemma’s op de voorgrond. Deze nopen tot een gedegen dialoog met betrekking mogelijkheden en onmogelijkheden, zowel technisch, maatschappelijk als financieel. De dilemma’s vormen als het ware de assen waarlangs in het komende decennium de keuzen dienen te worden voorbereid en uitgevoerd.
    Innovaties op het gebied van financiering, nieuwe leiderschapsstijlen en contracten van samenwerking en wellicht ook de public governance van en door overheidorganisatie vereisen dat.

    De dilemma’s:

  • Klimaatbestendig bouwen en ontwikkelen: een kwestie zijn van economisch verdienmodel of een conditio sine qua non? Hoe ver ga je?
  • Klimaatuitdagingen: een maatschappelijke opgave of een domeindiscussie?
  • Omgevingswet: complexer of vereenvoudiging?
  • Ontwikkeling van waterschap van functionele overheid naar opgavegerichte overheid? Als enige?
  • Het niet gericht handelen en op korte termijn denken is geen optie meer. Er is de noodzaak van lange lijnen willen wij ons vermogen achter de dijken afdoende kunnen beschermen. In Groot-Brittannië bijvoorbeeld is men in feite te laat om nog effectief te kunnen investeren in de waterinfrastructuur. Zij hebben grote achterstanden opgelopen door in het verleden gemaakte bestuurlijke keuzes inzake organisatie, governance en financiering. Het enige wat rest daar is proberen de gevolgen te beperken. Dat is te mager. Het is duidelijk dat bij grootschalige overstromingen, die vaker zullen gaan plaatsvinden, getroffenen een gigantische prijs zullen betalen in de vorm van economische ontwrichting, immense schade aan infrastructuur en persoonlijke verlies van eigendommen. Zij eisen hun tol voor lange tijd.

    Het is wijs om in Nederland continu te blijven investeren in preventie, mitigatie én adaptatie. We lopen in Nederland nog voorop, maar gezien de omvang en impact van de klimaatverandering, die zich overigens meer en meer begeeft naar een terra incognita - in een voor ons onbekend terrein van gevolgen - is het toch alle hens aan dek volgens Kuipers. Het vraagt om politieke en bestuurlijke alertheid in alle opzichten. Het vraagstuk van water kan daarbij niet zonder een integrale aanpak en rentmeesterschap door de overheid.

    Risicomanagement

    Wat is de positie en connotatie van risicomanagement in het grotere geheel van publieke sturing? Het begrip risicomanagement heeft ons wederom aan het denken gezet. Risicomanagement, saai? Nee, sexy! Het leidt tot performance, succes en resultaat als het om projecten gaat, tot veerkracht, weerstandsvermogen en wendbaarheid voor steden, organisaties, teams en mensen en tot geborgenheid, duurzaamheid en veiligheid van de samenleving.

    Aandacht voor risicomanagement vereist in de ogen van de Denktank een brede kijk vanuit leiderschap, breder dan nu het geval is. In bestuurlijk Nederland is er nauwelijks aandacht voor in de top, wordt het gezien als iets van control of financiën. Veel algemeen directeuren kijken er nog met een scheef oog naar en connoteren het als negatief, mijdend, remmend, pessimistisch en verlammend.

    Gedegen risicomanagement vereist wakkere bestuurders, managers en medewerkers. Gegevens die het bereiken van doelen kunnen verstoren tellen, zo blijkt ook uit het Global Risks Report. Dit geldt ook voor trends en ontwikkelingen die kansen bieden om doelen (nog beter of gemakkelijker) te kunnen bereiken en bedreigingen het hoofd te bieden. Aandacht voor risico’s leidt tot efficiënter en effectiever management en is daarmee veelal leaner en goedkoper. Risicomanagement wordt dan leuk, omdat het uitbetaalt en het uitdagend is om het beste uit onszelf te halen en niets aan het toeval over te laten.

    Synoniem
    Is er een synoniem te vinden voor het woord risicomanagement? De Denktank adviseert niet te veel hieraan te sleutelen, maar wel de positieve effecten ervan sterker te benadrukken. Het feit dat ontwikkelingen op het gebied van cyber of water kunnen en zullen leiden tot substantiële publieke risico’s voor burger, samenleving en natuur, vraagt om gedegen risicomanagement als vak, in alle opzichten serieus te nemen. Het gaat immers om optimale besteding van ons belastinggeld. Het ligt vanuit deze zorg voor de burger en samenleving voor de hand dat elke overheidsorganisatie deze aandacht voor risico’s adequaat belegt, opneemt en positioneert binnen haar corporate governance en stelsel van bestuurlijke legitimatie.

    Leiderschap
    Degenen die brede aandacht voor risicomanagement niet op de juiste waarde weten in te schatten komen te kort in hun leiderschap. En kunnen zelfs een gevaar zijn voor hun eigen organisatie. Eric Frank, directeur PRIMO Nederland: 'Zij die denken en zeggen dat zij het allemaal wel goed in orde hebben, zijn het meest te wantrouwen. Als je er oog voor hebt en werkt vanuit 'de bedoeling', is risicomanagement het synoniem voor sexy, creatief, innovatief en uitdagend management. Namelijk erop gericht om waarden, resultaten, performance en kwaliteit optimaal te bereiken en alles wat dit verhindert te adresseren.'

    Het gaat volgens de Denktank over contextgevoelig denken en handelen, over het benutten van kansen, het weerstand bieden aan bedreigingen. Het gaat om het bevorderen van wendbaarheid, lichtheid en effectiviteit die dienend zijn aan mens en samenleving. Het zijn onze hersenen, zo blijkt uit onderzoek, die onzekerheden wegdrukken, maken dat we vaak te optimistisch denken en inschatten, gebrekkig zijn in proactiviteit en te weinig varen op inituïtie en te veel op ratio.

    Deze eigenschappen van de mens zijn op dit punt uitgebreid onderzocht en wetenschappelijk beschreven. Wij moeten dus simpelweg alert zijn op onszelf en beschermen tegen het ongebreidelde optimisme wat vaak leidt tot bad governance en omvangrijke financiële overschrijdingen. Elkaar daarbij helpen kan daarbij geen kwaad.

    De risicomanager hoort in de eerste fase van ontwikkeling de rechterhand te zijn van het college
    en de ambtelijke top

    Een risicomanager is belangrijk voor elke organisatie. Hoewel het wordt gezien als een eerste stap naar een meer geavanceerdere vorm van public governance. Deze manager, die bedrijven vaak dicht in de top hebben georganiseerd, hoort in deze eerste fase van ontwikkeling dan ook de rechterhand te zijn van het college en de ambtelijke top. In veel gevallen ontbreekt de risicomanager in overheidsland of zit deze zonder mandaat 'weggestopt' ergens bij de afdeling financiën.

    In de gedachte van Boy van Droffelaar is het veeleer de cultuur in een organisatie - door de leiders gecreëerd - die alertheid en openheid echt kan bevorderen. Voor elke medewerker zou moeten gelden dat daadwerkelijk naar haar of hem geluisterd wordt als suggesties voor verbeteringen in de organisatie worden gedaan en dat gedachten of gevoelens met betrekking tot risico’s in bijvoorbeeld financiering of governance vrijelijk en zonder sanctie kunnen worden gedeeld.

    De werkelijkheid is evenwel vaak anders. Luisteren naar wat ecosystemen ons te bieden hebben, staat nog maar in de kinderschoenen, maar biedt tal van nieuwe perspectieven voor de bestuurskunde. Veel studies op dit punt geven goede suggesties hoe een groep slimmer kan zijn als veel waarnemingen binnen de groep actief worden gedeeld. Het zou mooi zijn als de huidige leiders het groepsgedrag van hun organisatie dus meer zouden bevorderen. Op naar shared leadership! Een prachtige uitdaging voor de komende decennia.

    Systematische onderschating
    Zowel cyber als water zijn qua vraagstuk erg complex van aard en worden systematisch onderschat door politiek en management, zo is het gevoel. Het zijn vraagstukken die in de ogen van de Denktank in de top van de organisaties verankerd móeten zijn, en zeker niet alleen de aandacht mogen hebben vanuit technische en technologische oplossingen. Een centraal geleide set van (governance)protocollen en (gedrags)codes waarmee de mensen in de organisatie moeten leren werken is voor een adequate aanpak van cyber security noodzaak. Net als in het watervraagstuk behoeft het nieuwe vormen van samenwerking, keten-denken, hernieuwde overweging van contracten tussen overheden en bedrijven.

    Ronny Frederickx, Honorary Past President van UDITE: 'Ik onderstreep graag vanuit het Europese netwerk van gemeentesecretarissen dat zowel cyber als water snel groeien tot majeure vraagstukken bij de decentrale besturing van steden, dorpen en gemeenschappen. De krachten van macht en invloed drukken meer en meer op de kwaliteit van het bestuur en samenleving, omdat er sprake is van discontuïteit en versnippering op vraagstukken, die een lange termijn benadering en een holistische benadering vragen.

    Leden van de Denktank 2017

  • Letty Demmers, Landelijk voorzitter D66, voormalig burgemeester Vlissingen, Korpschef Zeeland.
  • Boy van Droffelaar, Certified Executive coach, PhD Student Wageningen (Examining the relationship between Wilderness experience and transformation in attitude and behavior as a leader).
  • Eric Frank, Directeur PRIMO Nederland.
  • Ronny Frederickx, Honorary Past President UDITE, voormalig gemeentesecretaris Essen.
  • Rik Heinen, Beleidsadviseur Water Drechtsteden, Dordrecht.
  • Arnold van Kampen, Hoofd Projectmanagement en Engineering gemeente Rotterdam, Bestuurslid RISNET.
  • Jack Kruf, President PRIMO, Brussel, voorzitter Denktank.
  • Martin Kuipers, Secretaris - Algemeen Directeur Hoogheemraadschap Hollands Noorderkwartier, inleider Thema Water.
  • Anne Michiels van Kessenich, Rapporteur van de Society for Risk Analysis afd. Benelux.
  • Robert de Munnik, Risicomanager Provincie Noord-Brabant.
  • Lambrecht Nieuwenhuize, Security Officer BNG Bank, inleider Thema Cyber Security.
  • Edwin van Veenhuizen, Business Manager Gestructureerde Financieringen en Publieke Sector.
  • Wouter Slob, Gemeentesecretaris - Algemeen Directeur gemeente Medemblik, Bestuurslid PRIMO (Europe) en PRIMO Nederland.
  • Fotografie: Louise Kruf

    Trefwoorden: Tags: cyber security; publieke risico's

    Uw bijdrage

    Log in met om uw bijdrage te plaatsen.