Wat is Digital Risk Management?

Risicomanagement is een terugkerend thema in alle managementdisciplines. Traditionele frameworks — van projectmanagement en servicemanagement, tot IT-governance en enterprise-architectuur — benadrukken consequent het belang ervan. Zelfs Agile frameworks erkennen de waarde ervan.

In wezen is risicomanagement (of liever gezegd zou het moeten zijn) een manier om met onzekerheid om te gaan. In de praktijk wordt het echter vaak toegepast als een bureaucratische oefening, waarbij ritualistisch procedures worden gevolgd zonder een juist begrip van hun doel of impact.

Een reden hiervoor is magisch denken (of wat wij de "cargo cult" van risicomanagement noemen): de overtuiging dat risico's correct worden beheerd door simpelweg een vooraf bepaalde set procedures toe te passen.

Een andere reden is een verschuiving in doel van het daadwerkelijk managen van risico's naar het aantonen dat de voorgeschreven risicomanagementactiviteiten zijn uitgevoerd. In dit geval wordt de werkelijke focus compliance: bewijzen dat passende controles aanwezig zijn om te voldoen aan regulatoire vereisten en interne beleidsregels.

Als gevolg hiervan vertoont risicomanagement de neiging tot een sterke bias naar dreigingenmitigatie (en vooral naar beveiligingsgerelateerde bedreigingen), terwijl het beheer van kansen volledig over het hoofd wordt gezien. Echter, in het bedrijfsleven zoals in de sport, zal een team dat zich uitsluitend richt op verdediging en aanval verwaarloost uiteindelijk ineffectief worden in beide.

De meest urgente uitdaging waarmee bedrijven tegenwoordig worden geconfronteerd is hoe ze continue golven van verstoring kunnen navigeren die worden aangedreven door geavanceerde technologieën, zoals kunstmatige intelligentie, het Internet of Things, blockchain, robotica en cloud computing. Technologische versnelling heeft de digitale wereld VUCA gemaakt: Volatiel, Onzeker, Complex en Ambigu. Daarom is het cruciaal om de benadering van bedrijfsontwikkeling te verschuiven van een deterministische "als-dan-anders" visie naar een probabilistische "als-dan-misschien" visie, meer in lijn met de Agile mindset die nadruk legt op aanpassingsvermogen, experimenteren en continu leren.

"Digital Risk Management" is het continue proces van identificeren, beoordelen, prioriteren en behandelen van zowel positieve als negatieve risico's, om hun impact op de doelstellingen van de onderneming te optimaliseren. Effectief Digital Risk Management helpt ondernemingen te floreren in een steeds meer hyperconcurrerend digitaal landschap.

Het is belangrijk te benadrukken dat Digital Risk Management geen breuk is met traditioneel risicomanagement, maar eerder de natuurlijke evolutie ervan in een context waarin, zoals benadrukt in The DevOps Handbook, elke organisatie kan worden beschouwd als een technologiebedrijf, ongeacht de sector waarin het opereert[i].

Veel technologische innovaties ontstaan niet uit nieuwe uitvindingen, maar uit het hercombi­neren van reeds bestaande ideeën en technologieën. Blockchain-technologie bijvoorbeeld is geworteld in de integratie van peer-to-peer netwerken, cryptografie en een herziene vorm van dubbel boekhouden.

Op soortgelijke wijze is kunstmatige intelligentie vooruitgegaan dankzij de samenvloeiing van verbeterde rekencapaciteit, grootschalige datasets en decennia van algoritmisch onderzoek; terwijl cloud computing ontstond uit de combinatie van virtualisatie, gedistribueerde systemen en snelle internetconnectiviteit.

Managementdisciplines zouden dezelfde benadering moeten volgen door hun lang­bestaande principes te contextualiseren in het licht van de nieuwe omstandigheden. Digitaal Risicomanagement (DRM) vormt een voorbeeld van deze benadering door traditionele risicopraktijken te herconfigureren om de hedendaagse digitale realiteit aan te pakken. Binnen de context van voortdurende digitale transformaties kan DRM opnieuw worden opgevat als bestaande uit de volgende componenten.

Een rigoureuze definitie van kernrisicoconcepten is fundamenteel voor effectief risicomanagement. In een VUCA-omgeving is er een nieuwe relevantie voor 20e-eeuwse concepten zoals epistemische waarschijnlijkheid (die is ontwikkeld door de epistemologie en Bayesiaanse theorie).

Dergelijke concepten pakken de fundamentele uitdaging aan van redeneren en beslissingen nemen onder onzekerheid in digitale contexten, waar elk fenomeen zich ontvouwt vanuit een unieke en onherhaalbare configuratie van omstandigheden, krachten en variabelen die een rol spelen — waarvan de effecten vaak niet-lineair zijn en complex om te isoleren.

Het ontleden van een risico in zijn samenstellende logische componenten, en het begrijpen van hun onderlinge afhankelijkheden, maakt betere observatie, analyse en beheersing van elk onderdeel mogelijk, waardoor meer mogelijkheden ontstaan voor effectieve interventie.

Elk risico kan worden begrepen als een combinatie van de waarschijnlijkheid van een gebeurtenis en de omvang van het effect (mocht het zich voordoen). Denk bijvoorbeeld aan een bedrijf dat een nieuw marktsegment wil betreden en de mogelijkheid heeft om een reeds gevestigde concurrent te verdringen. Deze kans kan worden geconceptualiseerd als het product van de slaagkans en de omvang van het effect (oftewel de mate van het veroverde marktaandeel).

De waarschijnlijkheid van het behalen van de doelstelling hangt echter af van verschillende subfactoren. Een daarvan is de mate waarin het doelwit toegankelijk is of beschermd wordt door toetredingsbarrières: om dit aspect beter te begrijpen, kan het bedrijf proberen diepere kennis te verwerven van de beoogde klanten. Een andere factor is het vertrouwen van het bedrijf in het ondernemen van actie, gebaseerd op een business case die voordelen, kosten en risico's afweegt (inclusief mogelijke tegenaanvallen van concurrenten).

Andere factoren zijn onder meer de mogelijkheid om concurrenten te verrassen (waardoor defensieve acties worden voorkomen) en de relatieve capaciteiten en middelen die zowel door het bedrijf als door zijn concurrenten worden gemobiliseerd.

Tot slot, merk op dat het algehele effect van het succesvol veroveren van een asset de intrinsieke waarde ervan kan overstijgen: het kan bijvoorbeeld ook de reputatie van het bedrijf versterken. Sociale netwerken kunnen in het bijzonder dienen als krachtige versterkers van zowel overwinningen als nederlagen — zoals vaak het geval is in de sport, waar fans, media en virale aandacht snel de uitkomst van een wedstrijd uitvergroten.

Gerichte controles zijn specifiek voor elk element van de Risico Conceptuele Ontleding. Ze kunnen worden uitgeoefend zowel door actoren die een kans nastreven (d.w.z. die obstakels proberen te overwinnen en toegang willen krijgen tot bepaalde waarde) als door degenen die zich verdedigen tegen een bedreiging (d.w.z. die verlies of verstoring proberen te voorkomen).

In beide gevallen helpen controles de waarschijnlijkheden en de potentiële effecten van zich ontvouwende risicoscenario's te hervormen, waardoor risicobeheer wordt getransformeerd tot een dynamisch en bidirectioneel proces dat meer lijkt op een spel dan op een puur defensief mechanisme.

Het proces van risicobeheer omvat de identificatie van risico's, hun kwalitatieve en kwantitatieve beoordeling, en de iteratieve planning en uitvoering van risicoresponsen, die de inzet van een evenwichtige set RCD-gebaseerde controles inhouden. Gedurende het gehele proces worden de communicatie en het beheer van risicogerelateerde aannames en informatie onderhouden als voortdurende activiteiten, waardoor transparantie en aanpasbaarheid gewaarborgd blijven.

Digitaal Risicobeheer kan functioneren als een op zichzelf staand proces op ondernemingsniveau, in bedrijfsactiviteiten, en in contexten waar niet-Agile benaderingen worden gehanteerd. Tegelijkertijd moet het in Agile omgevingen functioneren als een complementaire techniek die ingebed is binnen bestaande frameworks.

Agile kan worden beschouwd als intrinsiek gericht op risicobeheer, omdat het progressief onzekerheid reduceert iteratie na iteratie[i]. Daarom kunnen iteratieve en incrementele methodologieën (zoals Scrum of AgilePM3) DRM incorporeren als een integratieve laag.

Volgens deze benadering zouden Scrum Product Owners risico's moeten identificeren door hun agenten en oorzaken te specificeren, de risicogebeurtenissen, en hun effecten op activa; vervolgens deze inschatten en hun monetaire waarde beoordelen om ze te prioriteren naast andere Product Backlog items. Moet men prioriteit geven aan een backlog item dat binnen een jaar een gegarandeerde winst van een miljoen zal genereren, of aan een kans die 50% kans heeft om drie miljoen op te leveren in dezelfde periode?

Traditionele technieken, zoals Monte Carlo simulaties, kunnen worden gebruikt om nauwkeurige schattingen te geven van de waarschijnlijkheid en het effect van elk element van de RCD. Een Beslisboom kan de Product Owner helpen de volgorde van items in de Product Backlog te optimaliseren door rekening te houden met de niet-lineaire aard van waarde.

Bovendien, net zoals backlog verfijning grove user stories opbreekt in fijnere, kunnen risico's worden opgedeeld in hun meerdere oorzaken met behulp van Visgraatdiagrammen, waardoor de gerichte versterking of mitigatie van elk mogelijk wordt. Als we weten welke vlinder in Brazilië een tornado in Texas zal veroorzaken, kunnen we hem gemakkelijk pakken en aan de muur nagelen, waardoor we het risico met zeer kleine uitgaven vermijden.

Tijdens elke sprint kunnen ontwikkelaars de controles plannen en implementeren die door de RCD worden verschaft voor de verschillende elementen. Nog belangrijker is dat ze de modellering van elk geïdentificeerd risico en de daarop toegepaste controles kunnen testen door de Deming-cyclus te volgen (Plan, Do, Study, Act).

Het menselijk brein wil keuzes baseren op zekerheden; echter, in een VUCA-wereld zijn zekerheden vaak illusies. Degenen die er niet in slagen te leren hoe ze risico's moeten beheersen, kunnen niet concurreren; de remedie ligt in culturele verandering. Nogmaals: stel je voor dat het ene bedrijf investeert in een backlog-item dat binnen een jaar gegarandeerd een winst van één miljoen zal opleveren, terwijl een ander zijn middelen steekt in een kans die 50% kans heeft om drie miljoen op te leveren in dezelfde periode. Welke is beter gepositioneerd om digitale verstoring te overleven?

Het primaire voordeel van Digital Risk Management is niet de verhoogde effectiviteit bij het beperken van digitale dreigingen; het is het vermogen om de onderneming te herstructureren om haar langetermijnaanpasbaarheid en overleving te vergroten.

DRM streeft ernaar ondernemingen om te vormen tot fractale systemen, die in staat zijn om continu informatie en kennis uit te wisselen, en om effectieve operationele modellen te repliceren op meerdere niveaus van de organisatie. Een onderneming die DRM toepast ontwikkelt adaptieve, zelfgelijkvormige structuren die flexibiliteit verbeteren, kennisdeling bevorderen en langetermijncompetitiviteit behouden, terwijl ook een kader wordt vastgesteld voor AI-ondersteunde risicomodellering en besluitvorming.

Deze structurele transformatie versterkt het vermogen van de organisatie tot continu leren, waardoor ze zich kan positioneren om te profiteren van digitale kansen en duurzaam concurrentievoordeel te behalen.

Om effectieve risicobeheervaardigheden op te bouwen, kunnen ondernemingen bewezen methoden hergebruiken uit gebieden zoals militaire wetenschap en cyberbeveiliging. Scenario-gebaseerde militaire oefeningen en purple teaming uit de cyberbeveiliging kunnen worden aangepast aan bedrijfscontexten.

Een intern team kan bijvoorbeeld een aanval van een concurrent simuleren, terwijl een ander team reageert door blootgelegde kwetsbaarheden te herstellen en tegenmaatregelen te lanceren, en een derde team de rol van klanten speelt en besluit welke kant te steunen.

Dit type simulatie versterkt niet alleen teamwerk en concurrentiedenken, maar versnelt ook de ontwikkeling van een Digital Risk Management-cultuur — een cultuur waarin veerkracht, aanpasbaarheid en datagestuurde besluitvorming integraal onderdeel worden van de onderneming.

Digital Risk Management transformeert verstoring tot momentum en maakt het de motor van effectieve en duurzame groei in het digitale tijdperk.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  "Goed toegepast is wendbaarheid in projecten een effectieve manier om met projectrisico's om te gaan – er is geen behoefte aan, of waarde in, een parallel proces om 'risico's te beheersen'." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.