In de zakelijke literatuur over crisis- en rampenbeheersing is er een enorme focus op onderwerpen als leiderschap, communicatie en planning. Beveiligingspersoneel en degenen die ervoor moeten zorgen dat bedrijven voorbereid zijn, zijn meer bezig met de technologie en apparatuur die nodig zijn om fysieke en cyberrisico’s te verminderen. Maar tussen crisisleiderschap en tactische planning bestaat vaak een fundamentele structurele kloof – een gevaarlijke kloof tussen degenen die de leiding hebben en degenen ter plaatse.
Terwijl bedrijven zich voorbereiden op crises, doen ze maar al te vaak een stap terug en stellen ze een simpele vraag: hoe zijn we ontworpen? Ik heb jarenlang bedrijven getraind en geadviseerd over rampenbeheer en paraatheid en ben gaan geloven dat goede paraatheid volgt op goede organisatie – en slechte paraatheid kan meestal worden verklaard door slechte organisatie.
Het is duidelijk dat we, nu we het derde jaar van de Covid-respons ingaan, allemaal tot op zekere hoogte allemaal crisismanagers zijn. De bedreigingen waarmee we worden geconfronteerd – voor het leven, bedrijfscontinuïteit, eigendom en reputatie – zullen niet eindigen als onze maskers loslaten. Bedrijfsleiders moeten hun ‘architectuur van paraatheid’ inventariseren. Dit betekent dat we ons in eerste instantie minder richten op training, protocollen, leiderschap en communicatie en meer op de interne rapportage- en bestuursstructuur van het bedrijf. De fundamentele vraag voor alle bedrijven nu, in een tijdperk van terugkerende rampen, is of hun management- en leiderschapsontwerp veilig is.
Bij het bestuderen van rampen en hun gevolgen voor mijn boek, The Devil Never Sleeps: Learning to Live in an Age of Disasters, heb ik verschillende ontwerpfouten geïdentificeerd die moeten worden aangepakt voordat – niet als – de volgende crises komen. Om de managementstructuur van hun bedrijf te ontwerpen om beter op crises te reageren, moeten leiders zich concentreren op de volgende drie gebieden.
Positie
Als ik lesgeef over crisisbeheersing aan de Kennedy School van Harvard, gaat mijn allereerste les over ontwerp, omdat de ‘botten’ (dwz de onderliggende structuur) van een organisatie ertoe doen. Ik stel een eenvoudige vraag die elk jaar met wilde gissingen en blanco blikken wordt beantwoord: waar is de Amerikaanse bosbouwdienst in de Amerikaanse regering gevestigd? Onmiddellijk zullen enkele zelfverzekerde studenten “Department of Interior” roepen. Na gefaald te hebben, stellen anderen de EPA voor. Het antwoord is het ministerie van Landbouw. Bedenk wat dat betekent, wat die plaatsing onthult over hoe de overheid bossen ooit zag (en nog steeds beschouwt): als een landbouwproduct, net zoals koeien, maïs of sojabonen. Voor beter of slechter, door hun ontwerp, bevinden bomen en bossen zich in een overheidsinstantie waarvan de prioriteit niet het milieu is of de bescherming van historische gronden. Deze plaatsing is belangrijk omdat het de prioriteiten van Staatsbosbeheer aangeeft.
Bedrijven hebben zelden beveiligingspersoneel in permanente leidinggevende functies. Er zijn maar weinig raden van bestuur van openbare bedrijven met één persoon uit de beveiligings- of cyberbeveiligingssector. Dit is niet alleen een symbolische uitdaging: het zegt tegen die professionals dat hun vaardigheden of expertise geen integraal onderdeel zijn van het leiderschap van het bedrijf. Het kan van invloed zijn op het vermogen om budget- en personeelsprioriteiten te sturen, aangezien leidinggevenden beperkte middelen verdelen. Het ontkent relevantie: een stoel aan tafel. En als een probleem door het management niet als essentieel wordt gezien, wordt het door medewerkers ook niet als essentieel gezien. Beveiliging moet worden verhoogd door een governance-ontwerp dat laat zien dat het net zo integraal is voor de toekomst van een bedrijf als het bedrijfsresultaat.
Vaak, om deze ontwerpfouten te compenseren of om verantwoordelijk te lijken voor de buitenwereld, creëren veel bedrijven, vooral nieuwere technologiebedrijven, wat ze ‘trust’ of ‘trust advisory’ boards noemen. Ik weet niet of dit komt omdat ‘vertrouwen’ minder intimiderend lijkt dan ‘beveiliging’. Deze borden zijn meestal gevuld met allerlei soorten experts en voormalige regeringsfunctionarissen (ik heb er een paar gediend!), maar de naam – een eufemisme – en plaats – buiten de organisatie – zijn veelzeggend. Ze raadplegen en geven eenvoudigweg aanbevelingen, en belangrijker nog, ze kunnen geen actie eisen. Ze staan letterlijk aan de kant en zijn vaak voor de show. Beveiligingsarchitectuur is een serieuze zaak, en het kan niet worden gedegradeerd tot het equivalent van de kindertafel op Thanksgiving. Als bestuursleden of interne leiders de voorbereidingsplanning en capaciteiten niet kunnen sturen, dan zal het niet gebeuren.
Toegang
Waar het beveiligingspersoneel zich ook binnen een organisatie bevindt, ik vraag CEO’s vaak hoe vaak ze verschillende leden van hun teams ontmoeten. Hun reacties zijn onthullend. Velen zeggen dat ze de COO meerdere keren per dag ontmoeten, de CFO minstens een paar keer per week, de general counsel als het moet. Maar wat betreft de hoofdbeveiligingsfunctionaris of gelijkwaardig, het antwoord is vaak een variant van: “Nou, hij is voormalig FBI, dus hij weet wat hij doet.” Dit is het verkeerde antwoord. Als het voor een CEO onaanvaardbaar is om alle financiële of juridische verantwoordelijkheid aan anderen in het bedrijf te delegeren, zou hetzelfde moeten gelden voor paraatheid. Een voorbereide CEO is iemand die begrijpt dat de manier waarop hij zijn aandacht en eisen richt, bepaalt wat het bedrijf als waardevol beschouwt.
In de beveiligingswereld wordt het vermogen van het veiligheidsapparaat om inspraak te hebben in de bedrijfsplanning en prioriteiten, beschikbaarheid genoemd. Is het beveiligingsteam bereikbaar wanneer het er het meest toe doet? Veel institutionele leiders zouden ja zeggen, dat ze weten wie ze moeten bellen als er iets misgaat. Dit suggereert dat leiderschap veiligheid niet als een enabler ziet, maar meer als een noodzakelijke overlast of een add-on, het ding dat genoemd moet worden, in plaats van het bindweefsel voor het bedrijf. Gecompliceerde rapportagestructuren, waarbij veiligheidspersoneel wordt gedistribueerd zodat ze rapporteren aan verschillende delen van de managementstructuur, zoals juridische zaken, risico’s of strategie, minimaliseert hun invloed en capaciteiten.
Beveiligingspersoneel als bijzaak behandelen door hun toegang tot leiderschap te beperken, is kortzichtig en zelfvernietigend. Denk bijvoorbeeld aan de lange inspanningen van de stad Oakland om een nieuw stadion te bouwen voor hun honkbalteam, de Oakland Athletics, in de Howard Terminal (een inspanning die zo lang aansleept dat het “een reis van duizend stappen” wordt genoemd) . Het project heeft veel vertragingen en wegblokkades opgelopen sinds de Oakland Athletics Investment Group in 2018 voor de Howard Terminal-locatie koos, waaronder de ontdekking van talloze veiligheidsproblemen die in beeld hadden moeten komen voordat ze hun selectie maakten.
De site was perfect voor recreatieve en investeerders. Maar omdat het aan één kant wordt omringd door water en slechts een paar uitvalswegen heeft (waarvan sommige consequent werden geblokkeerd door spoor en vracht), ontdekte de adviesbeoordeling waar ik op diende dat er geen manier was voor mensen om veilig te vertrekken als er iets rampzaligs zou gebeuren ( een aardbeving, brand, actieve schuttersituatie, enz.) gebeuren. Het bedreigde de veilige stroom van de belangrijkste haven van Oakland zo dat de Union Pacific-spoorweg zelfs tegenstand opriep.
Waar was het veiligheidsteam van de Investeringsgroep? Er was niets om over te praten, en er was weinig poging aan de voorkant om andere bedrijven, inclusief spoor en vracht, en de bewoners die de risico’s en uitdagingen van de site begrepen, in te schakelen.
Er is geen one-size-fits-all architectuur. Idealiter rapporteert een senior hoofd van de veiligheid of beveiliging rechtstreeks aan de CEO of een senior lid van het leiderschapsteam. Die beveiliger zou alle aspecten van het risicobeleid overzien en budgetten en personeel aansturen met ondersteuning van bovenaf. Beveiliging is een te belangrijk probleem om het in een organigram te verbergen of te delegeren aan externe ‘experts’. Als dat niet haalbaar is gezien de omvang of structuur van een bedrijf, moeten de CEO en het leiderschapsteam ervoor zorgen dat beveiliging altijd wordt vertegenwoordigd in het budget en de prioritaire zakelijke beslissingen voordat ze worden genomen.
Het is ook essentieel dat leiders bereid en betrokken zijn wanneer beveiligingspersoneel om hun aanwezigheid vraagt bij tafeloefeningen of trainingen. Een maandelijkse briefing is waardevol, omdat risico’s vaak veranderen. Dit soort vertrouwdheid maakt een leider vloeiend en comfortabel in een ruimte die essentieel is voor hun missie, zelfs als zij niet degene zijn die cyberverdediging koopt of poorten rond een gebouw bouwt.
Ik heb ooit voor een politiek leider gewerkt als hoofd van zijn binnenlandse veiligheid, maar volgens de wet was ik geen direct verslaggever. Ik zei hem eenvoudigweg dat “je op mijn lijst geen verkiezingen wint, maar dat je ze er waarschijnlijk wel op verliest. Als ik je moet zien, zorg er dan voor dat ik gezien kan worden.” Hij was het daarmee eens en vertelde zijn team hetzelfde. De realiteit dat niemand om veiligheid geeft totdat iedereen erom geeft, zou de toegankelijkheid van een leider moeten bepalen.
Eenheid van inspanning
Deze ontwerpwijzigingen gaan niet alleen over het herschikken van de ligstoelen op de Titanic. Het gaat erom ervoor te zorgen dat, mocht zich schade voordoen, de gevolgen kunnen worden geminimaliseerd en de schade kan worden verminderd. En dat kan alleen als een bedrijf vooruitlopend op de volgende ramp streeft naar eenheid van inspanning.
Na de terroristische aanslagen op 9/11 hebben veel bedrijven terecht een CSO, chief security officer, gepromoveerd of aangenomen. In de loop van het volgende decennium, toen bedrijven te maken kregen met cyberaanvallen en kwetsbaarheden, ontstond er een nieuwe leider: de CISO, Chief Information Security Officer. Nu, als gevolg van de pandemie, nemen veel grote bedrijven CMO’s of CHO’s, medische of gezondheidsfunctionarissen in dienst. Dat zijn veel C-mensen.
Het sentiment is prijzenswaardig, maar de inspanning betekent weinig zonder wat bindweefsel. Een oplossing is om een hoofd beveiliging of paraatheid aan te stellen die toezicht houdt op deze inspanningen. Hoewel al die C-rollen gericht zijn op verschillende bedreigingen, zal de reactie van een leider in wezen hetzelfde zijn, of het nu een actieve schutter, aardbeving, cyberinbreuk of virus is: voer een plan uit, minimaliseer de impact en leid het bedrijf. Met verdeelde inspanningen, focus en arbeid, bevinden de ‘chefs’ zich vaak in verschillende rapportage- en managementsilo’s. Het probleem is: hoe het schip ook naar beneden gaat, het hele schip gaat ten onder.
Denk bijvoorbeeld aan de ransomware-aanval op Colonial Pipeline in mei 2021, waardoor de pijpleidingbeheerder de levering van gas en olie aan bijna 45% van de oostkust voor meer dan een week moest stopzetten. Analisten hebben de neiging zich af te vragen hoe het bedrijf zo kwetsbaar kon zijn. De betere vraag is: hoe kunnen ze geen plan hebben voor de manier waarop de onvermijdelijke cyberverstoring hun capaciteiten zou beïnvloeden en zou leiden tot een kortetermijnenergiecrisis als de toeleveringsketen stilvalt?
Het bedrijf had geen andere keuze dan het hele systeem stil te leggen omdat het de gasstroom niet effectief kon bewaken. Bedrijven verdelen over het algemeen systemen tussen operaties en informatietechnologie. Ze zijn onderling afhankelijk, wat betekent dat een risico voor de een een risico is voor de ander. Als Colonial een senior leider had gehad die toezicht hield op de hele reeks mogelijke gevolgen, was het bedrijf misschien beter voorbereid. Het had redundanties kunnen creëren of belangrijke gegevensbehoeften – zoals die met betrekking tot operaties en distributie – kunnen scheiden van zakelijke – zoals salarisadministratie – op het netwerk. Het zou een meer geavanceerde herstelinspanning hebben gepland die gericht was op het snel laten bewegen van grote pijpleidingen en afhankelijk was van vrachtwagens en andere vormen van transport voor lokale levering. In plaats daarvan werd wat een kleine verstoring had kunnen zijn die veel voorkomt in cyberspace, een nationale uitdaging voor de energievoorziening.
. . .
Design is, net als een goed PR-plan of effectieve training, een essentieel aspect van paraatheid in een tijd waarin rampen zullen blijven komen. Voordat een bedrijf investeert in het volgende coole nieuwe beveiligingsproduct of een mooie nieuwe adviesraad aanstelt, moet het eerst zijn eigen architectuur onderzoeken. Een goede voorbereiding komt van sterke botten.
This post Ontwerp uw organisatie om toekomstige rampen te weerstaan was original published at “https://hbr.org/2022/03/design-your-organization-to-withstand-future-disasters”
