Masterclass risicogestuurd werken risnet - 9 april 2015 - martin van stavere...
Interview
1. [Interview] Stef Hoffman, Capgemini
woensdag, 21 oktober 2015
Periodiek publiceert Riskworld een exclusief interview met inspirerende personen die werkzaam zijn
op het vlak van Risk Management. Ze vertellen over kansen en risico’s, het Risk Managementbeleid
van hun organisatie, waar ze ‘s nachts wakker van liggen en wat hun familie en vrienden merken van
hun Risk minded lifestyle. Deze aflevering: Stef Hoffman, Chief Risk & Compliance Officer en Chief
Information Security Officer (CISO) bij Capgemini.
Stef Hoffman (Capgemini): “Risk Manager is geen adviseur, maar het geweten van de organisatie”
Toen hij nog maar vijf jaar oud was, kon hij de neiging al niet onderdrukken om het suikerpotje thuis
van de rand van de tafel naar het midden te schuiven. Zijn moeder vroeg naar het waarom van die
verhuizing, waarop de kleine Stef antwoordde: dat ding moet hier niet staan, dat ding moet daar
staan. “Ja”, lacht Hoffman nu, “ik had al heel jong een gevoel voor ordening en een sterk
risicobewustzijn.”
In zijn huidige functies bij consultancybedrijf Capgemini komt die kwaliteit bijzonder van pas.
Uitgekiende processen scheppen orde in een complexe organisatie, zegt Hoffman, en daarmee
mitigeert hij zo’n 75 procent van alle risico’s procesmatig. Gestuurd wordt op een procescompliance
van meer dan 80 procent. En dat is voor Hoffman voldoende. “De grap is: als je stuurt op 80 procent,
krijg je nagenoeg 100% compliance. Bovendien biedt deze aanpak de flexibiliteit om processen ad
hoc toe te snijden op specifieke situaties.”
Als CISO ziet zijn eigen werkweek er echter een stuk minder gestructureerd uit. “Het is (nog) niet zo
dat ik een vast patroon heb.” De ene week is hij bezig met het omzetten van theorie in praktische
veranderingen, de andere week maakt hij zich druk om de integratie van nieuwe processen, een
volgende week zit hij diep in het Risk Management, om vervolgens de hele wereld over te vliegen
voor Risk Assessments. Daarnaast is hij ook verantwoordelijk voor Privacy, Crisis- en Business
Continuity Management.
Besliskunde
Hoe dan ook heeft Hoffman in dat extreem uiteenlopende werkpatroon een vastomlijnd doel:
ordening for the benefit of all. “Feitelijk is Risk Management synoniem voor besliskunde. Risk
Management maakt inzichtelijk hoe bijvoorbeeld een project ervoor staat, wat we eraan kunnen
veranderen, en ik adviseer vervolgens het management wat ze in mijn ogen het beste kunnen
besluiten. Daarin ben ik volledig onafhankelijk. Overigens stelt die onafhankelijkheid mij ook in staat
om te escaleren wanneer adviezen in onvoldoende mate worden opgevolgd. Als ik aan het eind van
de dag naar huis rijd en denk: ik heb complexe materie behapbaar gemaakt waardoor het
management een goed besluit kon nemen, dan ben ik happy.”
2. “In veel organisaties zijn Risk Management, Information Security Management, Compliance, Crisis
Management, Business Continuity Management, Privacy- en milieukwesties ondergebracht in
verschillende handboeken en separate afdelingen die allemaal landjepik doen bij elkaar”, zegt
Hoffman. “Verantwoordelijkheden worden afgeschoven, processen sluiten niet op elkaar aan, noem
maar op. Bij ons vormen al die disciplines één gestroomlijnd geheel; onder meer daardoor werken
we extreem efficiënt. Die disciplines zijn samengebracht in één enkele unit en die omvat experts in
de gebieden Compliance, Information Security, Process Modelling, Risk Management, Capability
Maturity Management, Privacy, enzovoort. Individuele medewerkers beheersen meerdere
overlappende of aanpalende gebieden en alles wordt Risk Based aangestuurd. Waar de experts
voornamelijk op de achtergrond werkzaam zijn, zijn de Risk Managers daadwerkelijk in de operatie
aan de slag. Zij zijn de ogen en oren van de experts, zij zijn in staat om 80 procent van alle issues in de
expertisegebieden af te dekken en weten precies wanneer de experts in te schakelen. ”
Vol overtuiging
Toen hij een jaar of tien geleden bij Capgemini met Risk Management begon, draaide de afdeling
weliswaar, maar die had tegelijkertijd ook een uitdagend verbeterpotentieel. Hoffman vloog evenwel
vol overtuiging uit de startblokken en zorgde voor een professionaliseringsslag. Zijn motto: 80
procent van de risico’s kan worden geëlimineerd door het strak hanteren van processen, de focus
kan dan vol op de 20 procent niet-standaard risico’s liggen.
Met de werkwijze van Capgemini worden veel andere instituties getart, vertelt Hoffman. Hij kent tal
van organisaties die voor elkaar overlappende processen tal van verschillende handboeken
gebruiken. “De vraag is dan: zijn al die documenten in lijn met elkaar? Ze zijn immers geschreven
door mensen die hun eigen processen uitvinden zonder zich echt druk te maken over het geheel van
de keten. Als zo’n bedrijf een urgent probleem heeft, wie moet er worden gebeld? De Compliance
Manager? De Risk Manager? De CISO? In onze organisatie is het heel eenvoudig: ze bellen mijn
team.”
Heeft dat juist ook niet een nadeel? Alle processen en risico’s worden uiteindelijk maar geborgd door
één afdeling, die misschien oogkleppen op heeft. “Dat klopt. Daarom werken we, naast onze interne
auditors, met legio externe auditors, die onze organisatie voortdurend beoordelen op het vlak van
Environmental Management (ISO 14001) Quality Management (ISO 9001) Service Management (ISO
20000) Information Security (ISO 27001) Capability Maturity (CMMI) Assurance Standard (ISAE3402),
en nog een hele reeks aan andere standaards zoals NEN4400, CO2 Prestatieladder en FIRA. Jaar na
jaar komen ze tot de conclusie dat onze integrale werkwijze heel succesvol is.”
Eigenwijs
Een beetje eigenwijsheid kan daarbij soms wel nodig zijn, constateerde Hoffman al diverse keren.
“Toen we ISO 14001 gingen invoeren, zouden we conform de eisen een nieuw milieuhandboek
moeten schrijven. Wij zeiden toen: “Nee, we integreren de milieuaspecten volledig in onze
bestaande processen.” Wij kennen slechts processen waarin alle standaarden en frameworks zijn
3. verweven waaraan wij moeten en willen voldoen. Die processen maken deel uit van een uniek
geïntegreerd Quality management System: iQMS.”
Dat Capgemini zijn processen beheerst, die continu verbetert en dat zij statistisch in control is,
bewijst de CMMI Maturity Level 5 status (Capability Maturity Model Integration) die de organisatie
heeft. “Wereldwijd zijn wij het vijfde bedrijf dat voor de combinatie applicatieontwikkeling en -
beheer over de hoogste graad in deze standaard beschikt. De status zegt eigenlijk dat we in staat zijn
te voorspellen waar dingen fout gaan, waardoor we op tijd kunnen bijsturen.”
“We overzien alle kern-KPI’s en kunnen op die manier de huidige positie naar de toekomst
extrapoleren (Leading Indicators). Dat geeft ons een veel positiever risicoprofiel: nog voordat de
klant zelf ervaart dat de kwaliteit van de dienstverlening achteruitgaat, zijn wij al bezig het probleem
op te lossen.”
Het onvoorstelbare
Toch wil dat allerminst zeggen dat risico’s bij Capgemini uitgebannen zijn. Integendeel, maar liefst 20
procent van dat wat zich in de toekomst voltrekt, bestaat uit gecompliceerde scenario’s die zich niet
gemakkelijk laten voorspellen. “Je moet rekening houden met het onvoorstelbare”, verwijst Hoffman
naar zijn favoriete boek The Black Swan van de Amerikaanse auteur Nassim Nicholas Taleb. “Neem
de economische crisis, veroorzaakt door de hypotheekcrisis in de Verenigde Staten. Niemand zag ze
aankomen. Niemand had maatregelen. In die geest zegt Taleb: “Hou rekening met het
onvoorstelbare. Bijvoorbeeld 24 uur geen stroom in heel West-Nederland gecombineerd met
windkracht tien. Een Black Swan wordt getypeerd door een onverwachte, onvoorstelbare
manifestatie, een enorme, catastrofale impact en het gegeven dat de Black Swan achteraf perfect
verklaarbaar is.”
Nu het toch over Black Swans gaat, welke zwarte zwaan zwemt er eigenlijk in het meer van
Capgemini? Hoffman: “Sporadisch hebben we in een project een relatief grote financiële afschrijving,
ondanks alle controls die we in place hebben. Al vijftig jaar hebben wij met dat risico te maken. Alle
seinen staan redelijk op groen, en toch blijkt soms een project uiteindelijk veel meer te kosten dan
initieel bedacht. We kampen in deze situaties met aanzienlijke financiële risico’s. Als ik die van
tevoren kan voorzien, zou het resultaat onder de streep met procentpunten stijgen. Maar helaas:
niemand ziet ze aankomen. Iedereen is tevreden, technisch en financieel is er weinig aan de hand. En
dan opeens: bam.”
Black Swan localiseren
Hoewel de Black Swan op het maanloze meer onzichtbaar blijft, heeft Capgemini zich bij die
wetenschap niet neergelegd. “Een zwart gat kun je niet zien, maar de materie eromheen die naar het
zwarte gat toezwermt wel. Wat kunnen we daarvan leren? Dat als je atypische symptomen
registreert, een Black Swan bij benadering kunt localiseren. Waar wij bijvoorbeeld aan dachten, is of
in de aanloop naar dit soort uit de band springende projecten het verzuim onder
projectmedewerkers toeneemt. Wellicht voelen mensen het aan wanneer een project niet goed
4. draait. En vervolgens melden ze zich ziek. Hier hebben we uitgebreid onderzoek naar gedaan, op
basis van grote hoeveelheden data.”
Dat onderzoek werd uitgevoerd door François Brouwers, één van de medewerkers van Hoffman, in
het kader van zijn Master Thesis. Zijn onderzoek resulteerde, statistisch onderbouwd, in dertien
facetten waarop elk project wordt beoordeeld. Dit zijn alle dertien ‘non-standaard’-facetten die
normaal gesproken niet worden gebruikt voor project monitoring. “Zijn zes of meer facetten
waarneembaar, dan weten we voor 90 procent zeker dat we te maken hebben met een potentiële
Black Swan.”
Het is wel raar om een dergelijke slechte boodschap aan het management te brengen, zegt Hoffman.
“Je komt een zonnig terras oplopen en vertelt de mensen dat ze moeten evacueren omdat er een
orkaan op komst is. De eerste keer dat we een Black Swan voorspelden, werd dit ook niet serieus
genomen. Nadat onze voorspellingen enkele keren exact waren uitgekomen, is de acceptatie van de
Black Swan-aanpak snel tot stand gekomen. Deze aanpak is nu volledig geaccepteerd, omdat cijfers
niet liegen. De toepassing heeft evidente besparingen opgeleverd.”
Tips
Heeft Hoffman nog tips voor startende Risk Managers? Zeker. “Waar ik altijd op hamer: concentreer
je op de toepassing, blijf niet hangen in theorie. Als docent Risk Management aan enkele
hogescholen zag ik getalenteerde studenten voorbijkomen die precies wisten te vertellen hoe Risk
Management werkt. Maar vroeg ik ze een Risk Assessment uit te voeren, dan keken ze me met grote
ogen aan. Terwijl juist in die toepassing de kracht ligt. Dat moet je oefenen in de praktijk. Iemand die
25 jaar bij een organisatie werkt, en alle afdelingen en processen kent, kan nu eenmaal een beter
Risk Management voeren dan een recent afgestudeerde Risk Manager met vijf titels.”
Een andere tip die Hoffman graag deelt: acteer niet als adviseur van het Management maar als het
geweten van de organisatie. “Je moet je vak niet benaderen als een job van negen tot vijf, je advies
inleveren bij decision makers en hen vervolgens het besluit laten nemen. Als zij niets doen met jouw
advies, gebeurt er niets. Ik ben daar mordicus tegen. Ik kan niet rustig slapen als het management
anders beslist dan ik heb geadviseerd.”
Ook Riskworld kan in de evolutie van Risk Managers een rol spelen, denkt Hoffman. “Wat ik
belangrijk vind, is dat Risk Managers worden uitgedaagd om de verantwoordelijkheden die ze krijgen
toegespeeld ook daadwerkelijk te nemen. Niet iedereen durft op te staan, naar z’n CEO te gaan en te
zeggen: “Jij neemt een verkeerd besluit.” Je moet een bepaalde vorm van lef hebben, en soms een
potentieel carrièreverwoestende opmerking durven maken, ten faveure van het succes van de
organisatie waarvoor je werkt. Soms word ik wel de ‘corporate asshole’ genoemd. Ik maak dingen
bespreekbaar die anderen graag bedekt houden. Maar ik wil graag zo feitelijk mogelijk naar risico’s
kijken en ik deins er niet voor terug om te zeggen hoe ik de dingen zie. Door andere Risk Managers
uit te dagen dat lef te tonen, zal ook Riskworld een steentje kunnen bijdragen aan de verbetering van
ons vak.”
See more at: https://www.riskworld.nl/world-of-risk/interviews/interview-stef-hoffman-capgemini