First, fly the airplane – wat de bank kan leren van de luchtvaart

 
25 september 2015

INTERVIEW RABOBANK

De combinatie van vergaande compliance, hoge beschikbaarheid en disruptieve innovatie is een snelkookpan. Hoe ga je in de IT van financiële dienstverlening om met fouten en verstoringen? Rabobank werkt toe naar een cultuur waarin fouten en verstoringen de basis moeten worden voor verbetering. André van der Linden, EVP Continuity & Infrastructure, Rabobank, vertelt over de gezonde mix van hard en soft controls en de aanpak van de cultuurverandering.

De combinatie van vergaande compliance, hoge beschikbaarheid en disruptieve innovatie is een snelkookpan. Hoe ga je in de IT van financiële dienstverlening om met fouten en verstoringen? Rabobank werkt toe naar een cultuur waarin fouten en verstoringen de basis moeten worden voor verbetering. André van der Linden, EVP Continuity & Infrastructure, Rabobank, vertelt over de gezonde mix van hard en soft controls en de aanpak van de cultuurverandering.

Iedere IT-organisatie kent ze: de helden die major incidents met succes oplossen. Ze hebben de klok rond gewerkt en worden na de fix op het schild gehesen door hun manager: probleem opgelost! Dat gedrag past ogenschijnlijk goed bij wat de toezichthouder eist: als financiële instelling moet je de risico’s kennen, beheersen en bijbehorende mitigerende maatregelen hebben opgesteld. Maar veiligheid, betrouwbaarheid en continuïteit zijn niet alleen het resultaat van processen, procedures, rapportages en KPI’s. In tegendeel, de meeste fouten en verstoringen zijn het resultaat van menselijk handelen. In een open cultuur zijn fouten en verstoringen de basis voor verbeterslagen. Dat is ook waar Rabobank naar toe wil werken.

Eerlijke rapportages

“Het aantoonbaar in control zijn is in de IT van banken vertaald in checklists, processen en procedures,” aldus Van der Linden. “Met die checklists – die banken zelf hebben bedacht – is niets mis, maar als ze de belangrijkste leidraad worden, verliezen professionals wel hun gevoel voor professionaliteit – denk aan het goed afwegen van bedrijfsbelangen en risico’s. Het gevolg is dan ook dat de IT-professional zo langzamerhand is gaan denken dat hij geen professional meer mag zijn.”

Bij een groot incident, zo werd binnen Rabobank verwacht, moet binnen 48 uur een Major Incident Report (MIR) worden opgemaakt. “Durven mensen eerlijke rapportages af te geven? Wij hebben allemaal de bankiers-eed afgelegd. Maar wat gebeurt er als jouw rapportage te veel rode KPI’s bevat waarbij de projectmanager vraagt om ze groen te maken? De eerste reactie vanuit het management op ernstige verstoringen is vaak: ‘hoe kan dit gebeuren?’ of ‘wordt er bij jullie niet nagedacht?’ Daar komt bovenop dat het topmanagement wil beslissen over changes in complexe IT-omgevingen. Dat betekent dat mensen die niet precies weten waar het over gaat, uiteindelijk de beslissingen gaan nemen.” Dit alles is de perfecte cocktail voor een cultuur waarin IT’ers zich kunnen gaan beperken tot hun eigen deelproces en waarbij KPI’s in rapportages last krijgen van het watermeloen-effect: groen van buiten, maar rood van binnen.

‘Near misses’ in IT

Het melden van fouten of bijna-fouten kan juist bijdragen aan het leervermogen van de organisatie, maar daarvoor is een veilige omgeving nodig. In de luchtvaart wordt dit al erkend en is de afgelopen decennia dan ook een goede veiligheids- en meldingscultuur opgebouwd. Near misses worden bijvoorbeeld gerapporteerd en checklists zijn geen doel om jezelf in te dekken, maar een middel om de bedrijfsvoering te verbeteren en veilig te houden. “Ook in onze organisatie kunnen fouten gemakkelijk worden gemaakt. Van de luchtvaart hebben we inmiddels geleerd dat een catastrofaal incident meestal wordt voorafgegaan door een groter aantal kleine incidenten en dat daaronder weer een flinke hoeveelheid near misses zit. Als je er in slaagt onderin de piramide de grote groep near misses terug te dringen, wordt de piramide smaller en de kans op een ‘ramp’ kleiner. Binnen de bank worden near misses op IT-gebied echter niet gerapporteerd; hier ligt het accent op de helden die de fouten oplossen,” aldus Van der Linden.

‘De business kan alleen intelligenter met risico’s om gaan als IT de taal van de business spreekt’

André van der Linden

André van der Linden

Hard controls, soft controls

“Iedereen kan fouten maken: bijvoorbeeld omdat je ’s nachts moet doorwerken, omdat de druk oploopt, omdat je even bent afgeleid of omdat je jezelf te ervaren vindt om een checklist volledig te doorlopen. Het belangrijkste van een positieve meldingscultuur is dat je kunt leren van fouten, maar praten over een nieuwe cultuur is niet genoeg. Het gaat om gedrag dat moet veranderen: mensen moeten verantwoordelijkheid kunnen en willen nemen. Dat bereik je niet met uitsluitend hard controls, zoals het afvinken van checklists, het werken met technische KPI’s en rapportages. Ze werken openheid tegen, zijn niet altijd betrouwbaar en daarmee niet bevorderlijk voor de kwaliteit. Dat er in risicobeheersing prima gewerkt kan worden met soft controls, blijkt uit de complimenten die Schuberg Philis ontvangt van DNB, omdat ze snel en goed door de audits heen komen. Dat bedrijf kent een effectieve en sterke kwaliteitscultuur en werkt vooral met soft controls.”

Workshops leiden tot vragen en ideeën

De beoogde verandering is niet eenvoudig en ook niet in korte tijd door te voeren. Wat Van der Linden betreft, bestaat het veranderproces uit allerlei stappen en aandachtsgebieden: “We proberen allereerst de awareness op dit vlak te vergroten door middel van workshops. Die beginnen bij de business, applicatieontwikkeling, applicatiesupport en infrastructuur. De reactie van medewerkers is in eerste instantie soms: waarom moet ik hier naar toe? Is er iets aan de hand, heb ik iets fout gedaan? Maar na de workshops zijn de reacties heel positief. Het wordt enorm gewaardeerd dat verstoringen en fouten bespreekbaar zijn. De vervolgvraag is dan ook vaak: gaat mijn baas hier ook naar toe? Uit de workshops rollen goed bruikbare ideeën, zoals ‘geef het scherm van een productiesysteem een andere kleur dan het scherm van een testomgeving’.”

Wanneer je fouten ook als leermogelijkheid erkent, kan je op de eerste plaats je gedrag aanpassen, zodat je bewuster met risico’s omgaat. “Een goed voorbeeld is dat machinisten van de Japanse spoorwegen, wanneer ze een station of sein tegenkomen, dat letterlijk moeten aanwijzen – niet alleen het fysieke object wat ze buiten zien, maar ook de vermelding daarvan op een chronologische lijst in de cabine. Zo dwing je jezelf bij de les te blijven, beseffend dat je gemakkelijk iets over het hoofd kunt zien. Op de tweede plaats kan je voorwaarden scheppen zodat je van je fouten kunt leren. Dat vraagt om een andere blik op rapportages, controle, fouten en verstoringen. Je kunt bijvoorbeeld het vier ogen principe opvatten als een uiting van bemoeizucht en wantrouwen, maar je kunt het ook zien als een moment voor het delen van kennis en informatie, waarbij je de mogelijkheid benut om een collega te vragen jouw werk te controleren.”

Kijken naar de context

De kwaliteit van beslissingen over risico’s kan ook omhoog als goed naar de context wordt gekeken. “Op de dag dat in Griekenland de banken werden gesloten als gevolg van de Griekse geldcrisis, gingen bij ons de beleggingssystemen 2 uur plat. Niemand kon beleggen, terwijl de beurzen daar wel alle aanleiding toe gaven. De storing was een gevolg van een change, bedoeld om een haperende CPU te vervangen – op zich een noodzakelijke actie. Ik was daar zelf voor verantwoordelijk en met dit voorbeeld wil ik maar aangeven: bij beslissingen moet je ook naar de context kijken. Het had prima gekund dat na een uitgebreide afweging hetzelfde besluit was genomen, maar wellicht waren er dan meer mitigerende maatregelen bij bedacht. Het is van grote invloed hoe het management op zo’n verstoring reageert: is de reactie een basis voor verdere dialoog? Ook managers zullen moeten leren om die context mee te nemen, want dat is niet altijd even eenvoudig. Sommige invloeden kan je voorzien, denk aan Griekenland en het doorvoeren van een change. Maar je hebt ook te maken met onbekende en onvoorspelbare factoren.”

Risk appetite van de business

Een ander aangrijpingspunt is het slimmer om gaan met de informatie over verstoringen. “Bij MIR’s (Major Incident Reports) voeren we nu soms extra analyses uit: als we alle acties uit de MIR hadden doorgevoerd, had daarmee het incident voorkomen kunnen worden? Wat waren de omstandigheden die er voor gezorgd hebben dat het incident optrad? Daarmee wordt het bijna een ‘root culture analysis’. Het wel of niet accepteren van risico’s die door IT gemeld worden, zou niet bij de projectleider moeten liggen – die heeft een belang bij projectvoortgang – maar bij degene die de risico’s loopt. Dat is namelijk ook degene die aan de toezichthouder uitleg mag geven: de business dus. Om risico’s goed te kunnen inschatten moet de business wel geïnteresseerd zijn in IT en zich verdiepen in de eigen risk appetite. De business kan alleen intelligenter met risico’s omgaan als IT de taal van de business spreekt. Het resultaat moet zijn dat je niet meer gaat voor percentages downtime of beschikbaarheids-KPI’s, maar bijvoorbeeld voor het aantal transacties dat maximaal gemist mag worden per incident. In piektijden mag je dus minder incidenten hebben dan in daluren. Dat zegt meer dan de keuze tussen 99,8 of 99,9 procent beschikbaarheid. Deze benadering zorgt ook voor een betere focus: wanneer ben je bezig met een kritisch of niet-kritisch systeem? Procedures en processen moeten gekoppeld worden aan de risk appetite van de business. Maar het zijn en blijven methoden en tools; om het gedrag te veranderen heb je steun nodig vanuit de RvB en RvC. We hebben gelukkig een CIO en een COO in de directie die zich hier persoonlijk hard voor maken.”

Het belang van een goede debrief

Wezenlijk onderdeel van een veilige cultuur is dat medewerkers hulp durven vragen en dat collega’s of managers ook adequaat op een hulpvraag reageren. Van der Linden legt hierbij de link met de duiksport: “Onder water check je doorlopend hoe het met de ander gaat. Als je buddy zegt dat er iets aan de hand is, zeg je niet ‘kom volgende week maar terug’. Direct na de duik volgt een debrief: wat ging er wel en niet goed? Dat zou je binnen een bedrijf veel meer kunnen doen.” Van der Linden stelt dat verandering begint bij het management. “Ik zal zelf mijn gedrag moeten aanpassen: hoe reageer ik voortaan op incidenten? Fouten maken kan, want we zijn mensen; fouten verzwijgen is dodelijk, net als geen hulp geven wanneer die wel wordt gevraagd. Met het toegeven van fouten kan je ook veel sneller overgaan tot het bespreken van oplossingen en verbeteringen.”

Het watermeloen-effect bij KPI’s: groen van buiten, maar rood van binnen

Wanneer in de luchtvaart problemen in de cockpit ontstaan die het vliegtuig in moeilijkheden brengen, geldt de regel ‘first, fly the airplane’. Crew resource management in de luchtvaart moet er voor zorgen dat er in de cockpit ruimte is om foute beslissingen te kunnen betwisten, ongeacht de hiërarchie in de cockpit. Ook in de IT van KLM staat continuïteit voorop, bijvoorbeeld een KPI als ‘flight delays due to IT’. Een kenmerkende benadering, ook te zien in de case over de Sluiskiltunnel, is: los eerst het probleem op zodat het project niet stagneert, ga daarna in gesprek over oorzaak, gevolg en verbeterpunten.

Op weg naar een IT-empowered bank

“Je leert het meest van je fouten, maar dan moeten ze wel bespreekbaar zijn. We werken binnen de bank met 360 gradenfeedback, maar wel op vrijwillige basis en anoniem. Dat zegt iets over onze cultuur. Onze bank is bij uitstek een netwerkorganisatie: je krijgt dingen sneller gedaan als je een smart netwerk hebt. Dat netwerk is van invloed op je functioneren, je wilt het liever niet beschadigen met kritische feedback. Het is dus niet voldoende om alleen te prediken dat iedereen open moet zijn over fouten. Het traditionele carrièrepad binnen de IT loopt van infra naar development, andersom wordt als degradatie gezien. Durven beheerders bijvoorbeeld tegen projectleiders in te gaan? Of is de standaardreactie van een projectleider dat het opgebrachte risico – zonder verdere discussie – geaccepteerd wordt omdat de projectdeadline moet worden gehaald? Het helpt als je steeds de ‘waarom’-vraag meeneemt: waarom doen we dit? Omdat we ervoor willen zorgen dat onze klanten ongestoord en veilig kunnen bankieren. En we de beste IT-empowered bank van Nederland willen zijn. Daarmee leg je weer duidelijk de link met de klant.”