Bank kijkt naar luchtvaart om incidenten te verminderen

 
19 oktober 2015

PRESENTATIE ANDRÉ VAN DER LINDEN – CIO Rabobank

Aan de hand van een alledaags voorbeeld illustreert André van der Linden, Manager Continuïteit & Infrastructuur bij Rabobank Nederland hoe je kunt omgaan met incidenten. Zijn dochter, net klaar met de middelbare school, studeert in de VS en ‘whatsappt’ met haar vader vanwege een noodsituatie: ze moet naar het ziekenhuis. Ze is alleen en door de taxi op de verkeerde plaats afgezet, weet even niet wat ze moet doen. Omdat ze een Amerikaans mobiel abonnement heeft afgesloten met alleen data (‘spraak is te duur en niet nodig’) kan ze niet bellen. Reageer je dan met paniek en boosheid of bewaar je de rust en focus je eerst op de oplossing?

Met zijn presentatie borduurt Van der Linden voort op een openhartig interview in het Outsourcing Performance Jaarboek 2015, waarin wordt ingegaan op hoe organisaties reageren op incidenten. Incidenten – en het voorkomen daarvan – hebben voor financiële instellingen topprioriteit. IT is niet alleen van strategisch belang, ook spelen zaken mee als compliancy, toezicht en kostendruk. En niet onbelangrijk: terwijl onze afhankelijkheid van IT toeneemt, accepteren we als consument steeds minder gemakkelijk dat een dienst soms onbeschikbaar is. Een ernstig incident leidt nogal eens tot een standaardreactie van het management: meer en nog strakkere controle op de processen. In de praktijk betekent dit dat professionals steeds meer volgens protocollen moeten werken en dat er bij de analyse van incidenten te weinig aandacht is voor de context waarom het incident heeft plaatsgevonden. Bij een ernstig incident wordt in eerste instantie gekeken naar het proces – bijvoorbeeld de juistheid van een hardware update die is doorgevoerd. Een diepere analyse geeft echter vaak een andere en betere verklaring; het advies van Van der Linden is op de eerste plaats dan ook om te kijken naar de omstandigheden waarin een verstoring heeft kunnen optreden. In veel gevallen blijkt dan dat het niet de technologie is die ons in de steek laat, maar dat ‘menselijke’ zaken als werkdruk, machtsverhoudingen tussen ontwikkelaars en beheerders of afleiding een bepalende rol hebben gespeeld.

Op de tweede plaats pleit Van der Linden voor meer aandacht voor de ‘near-misses’ in (IT)processen. Ernstige IT-incidenten binnen Rabobank Nederland waren de aanleiding om te gaan praten met de luchtvaartindustrie. Uit de veiligheidscultuur die al jaren binnen de (westerse) luchtvaart bestaat, komt een belangrijke aanbeveling naar voren: openheid is een voorwaarde voor lerend vermogen. Als je vraagt naar near-misses, geeft vrijwel niemand aan waar en wanneer die zich voordoen. Een gezonde ‘meld-cultuur’ is dus vereist en openheid begint wat Van der Linden betreft bij het management, inclusief support vanuit de Raad van Bestuur. Rabobank heeft de principes uit de luchtvaart – een cultuur waarin openheid voorop staat, een veilige meldcultuur inclusief de mogelijkheid om kwesties anoniem te melden, en het doorvoeren van terugkoppeling aan de melder – omarmd en is voornemens om dit de komende maanden in te gaan voeren. Medewerkers die een probleem melden, krijgen als beloning een dinerbon, maar het belangrijkste is dat problemen worden uitgezocht zonder dat er ‘klappen vallen’. Show, don’t tell is daarbij cruciaal. De luchtvaartsector heeft laten zien dat dit principe de veiligheid sterk vergroot: het aantal incidenten neemt af. Ook de toezichthouders zoals De Nederlandsche Bank beginnen oog te krijgen voor de rol van soft controls – als aanvulling op hard controls.

André van der Linden sprak op Outsourcing Performance Day 2015.