Marjolijn van Oordt is organisatieadviseur, bestuurder en associate partner bij adviesbureau Van de Bunt en deskundige op het gebied van crisismanagement. Ze adviseert hoe een organisatie in te richten en crises te voorkomen. Maar ook als het mis gaat, wordt ze er vaak bij geroepen om zo snel mogelijk te de-escaleren en te zorgen dat de organisatie in control komt. Security Management spreekt met haar over het hele spectrum van crisismanagement.
Door Betty Rombout
Wat versta jij onder crisismanagement?
“Het woord crisis is, zeker nu, enigszins aan inflatie onderhevig. Maar officieel kun je van een crisis spreken als er aan een aantal factoren wordt voldaan. Ten eerste moet de hele organisatie at risk zijn, het moet de hele organisatie bedreigen. Ten tweede is het niet mogelijk om met de staande operatie de crisis op te lossen; er zijn specifieke processen, procedures en systemen nodig om de situatie op te lossen, dus de organisatie moet in crisismodus. Ten derde is er altijd een strategische en operationele oplossing vereist. En betrokkenheid van de directie, toezichthouders en raad van commissarissen is vereist. Er is vaak een noodzaak om toezichthouders te informeren, en er is veel druk van buiten.
Dit alles maakt dat er grote tijdsdruk is om beslissingen te nemen. Die druk van buiten maakt dat het controle verlies steeds groter lijkt. Bij crisismanagement ben je dus niet alleen intern bezig, maar ook extern met vragen en eisen die vanuit de buitenwereld komen. Denk aan maatschappelijke verontwaardiging, vragen vanuit de politiek, vragen van toezichthouders et cetera. Die steeds groter wordende druk maakt het steeds moeilijker om tot een oplossing te komen.”
Marjolijn van Oordt: “De covid-crisis was een voorbeeld van een slapende reus.”
Waardoor komen bedrijven of organisaties in een crisis?
“Dat kan veel verschillende oorzaken hebben. Om het behapbaar te maken voor mijn opdrachtgevers, hanteer ik een schema. Een crisis kan intern of extern beginnen.
Daarnaast kan een crisis incidenteel zijn, of we hebben te maken met slapende reuzen. Covid was een typische slapende reus. Door de sector was al lang voorspeld dat er op enig moment een dergelijke pandemie zou komen. Bij een intern incident heb je het over veiligheidsrisico’s; denk aan het uitvallen van systemen, brand of andere ongelukken.
Bij externe incidenten gaat het om beveiligingsrisico’s, zoals cyberaanvallen, terrorisme of gezondheidsrisico’s. Het komt van buiten. Heb je het over interne risico’s die slapende reuzen zijn, dan gaat het vooral om beleidsmatige risico’s zoals fraude. Dan is er feitelijk sprake van slechte handhaving op interne regelgeving. Of er gaan zaken operationeel mis. Bij slapende reuzen zijn er al heel wat rode vlaggetjes geweest die genegeerd zijn.
Neem Waternet in Amsterdam. De waterkeringen en de noodpompen zijn in slechte staat en onderhoud aan dijken, bruggen en sluizen loopt achter op schema, ze zijn kwetsbaar voor cyberaanvallen en de ACM heeft de inspectie geadviseerd om scherper toezicht te houden op de berekening van de tarieven. Dat zijn een hoop verschillende risico’s bij elkaar opgeteld. In zo’n situatie wordt de kans dat wij een watercrisis krijgen in de regio Amsterdam steeds groter. Dat is een slapende reus. Dan zijn er nog slapende reuzen die extern starten; dat zijn omgevingsrisico’s. Bijvoorbeeld als maatschappelijke normen veranderen maar de organisatie is niet mee veranderd, waardoor er maatschappelijke onvrede ontstaat. Of in het geval van een economische crisis waardoor politieke instabiliteit ontstaat, klimaatverandering et cetera.”
Een securitymanager die zich nooit met een crisis bezighoudt, komt niet echt voor
Wat is de juiste aanpak?
“Crisismanagement doorloopt een aantal fases. De eerste fase is het voorkomen van crises. Dit doe je door die genoemde oorzaken van mogelijke crises goed te onderzoeken. Wat kan ons allemaal overkomen? Vervolgens kijk je naar de waarschijnlijkheid dat dit gebeurt. Die waarschijnlijkheid zet je vervolgens af tegen de impact. Hoeveel impact heeft het als het zover is? Heeft het een hoge waarschijnlijkheid en hoge impact, dan moet je daar meteen mee aan de slag.
Heb je dit allemaal in het vizier, dan kom je in fase twee: voorbereiden. In de voorbereidingsfase zorg je dat je de operatie hebt staan om een crisis het hoofd te kunnen bieden en organiseer je oefeningen en stresstests.
Hiervoor werk je scenario’s uit. Het is belangrijk om bij scenario’s te blijven beseffen dat het oefenmateriaal is. Voor de inrichting van de crisisoperatie richt je je primair op procedures, processen en mensen. Want je crisisoperatie moet robuust genoeg zijn om iedere crisis het hoofd te bieden, omdat je van tevoren nooit precies kunt voorspellen hoe een crisis zich ontvouwt. En het ontvouwt zich nooit precies volgens de scenario’s die je vooraf hebt uitgewerkt. Daarom is het belangrijk om een crisisorganisatie te hebben die los staat van scenario’s en die bestand is tegen iedere vorm van crisis die op je af kan komen. Veel organisaties hebben bijvoorbeeld geen inrichting voor de situatie dat we niet meer online of via mobiele netwerken met elkaar kunnen communiceren. Dat hoort wel een belangrijk onderdeel van een crisisoperatie te zijn. Zeker voor organisaties die vitale infrastructuur leveren. Hoe communiceren we dan met elkaar?
De derde fase is de crisisbeheersing zelf. Feitelijk is dat het moment dat je in actie komt met alles wat je in de eerste en tweede fase hebt ontwikkeld. De vierde en laatste fase is het evalueren. Het is van belang dat je dit binnen 72 uur doet en liefst volgens een vast stramien. Dat kan heel simpel zijn: wat ging goed, wat kon beter, wat ontbrak? Als je die vragen laat beantwoorden op inhoud en proces door alle mensen die bij de crisis betrokken waren, kun je goed lessen trekken voor de toekomst.”
Verkort CV
Naam: Marjolijn van Oordt
Geboren: 7 mei 1970
Woonplaats: Amsterdam
Opleiding: Universiteit van Amsterdam, Geschiedenis
Huidige functie: onafhankelijk organisatieadviseur
Zijn bedrijven en organisaties vaak niet te laat met crisismanagement?
“Bij organisaties die vitale infrastructuur leveren, kan dat niet meer; daar richten we het uiterst professioneel in volgens de eerder genoemde normen. Door toezichthouders wordt dat ook geëist, en terecht. Bedrijven die
ISO-gecertificeerd zijn, moeten ook iets van crisisbeheersing hebben. Als een organisatie aan al deze standaarden niet hoeft te voldoen, dan komt het voor dat ze te laat zijn. Wachten tot de crisis zich voordoet, zie je vaak bij kleinere bedrijven of bedrijven die vanwege hun succes snel zijn gegroeid. Ze zijn er dan nog niet op ingericht. Laatst heb ik zo’n snel groeiend bedrijf begeleid. Ze waren slachtoffer geworden van een ransomware-aanval. Helemaal gegijzeld, er werd losgeld gevraagd. Het besluit dat de directie toen nam was om er een expert bij te halen. In de evaluatie kijken we dan wat ze ervan geleerd hebben en gaan we het crisismanagement voor de toekomst inrichten.”
> LEES OOK: Post-HBO registeropleiding Crisisbeheersing 2022 succesvol afgerond met diploma-uitreiking
Waar liggen de zwakke punten bij bedrijven en organisaties?
“Het belangrijkste is hoogmoed in de bestuurskamer. ‘Dat overkomt ons niet.’ Er heerst een bewuste blindheid voor de risico’s en de eigen zwaktes. Van kritische toezichthouders, journalisten of opinieleiders wordt gezegd dat ze het niet begrijpen. In dat soort organisaties zie je ook vaak dat een risicomanager niet zo serieus wordt genomen.
Een andere factor van betekenis is de manier waarop organisaties zich tot hun stakeholders verhouden. Als organisaties een sterk netwerk buiten hebben en goede relaties met de belangrijkste stakeholders, zoals toezichthouders, pers en consumentenorganisaties, dan hebben ze een robuust netwerk om een crisis op te vangen. Ze krijgen nog altijd kritische vragen en zullen zich transparant moeten verantwoorden, de normen waar ze aan moeten voldoen, veranderen niet. Maar als ze het vertrouwen genieten van de samenleving en de weg kennen in het netwerk dan kunnen ze snel de juiste informatie op de juiste plaats krijgen. Anders begin je met een grote achterstand aan de wedstrijd.”
Wat is de rol van de securitymanager in dezen?
“In sommige organisaties zijn er twee rollen: risicomanager en securitymanager. In andere is er slechts één rol die risk en security combineert. Crisismanagement behoort zeker tot zijn of haar taken. Maar het is dus afhankelijk hoe crisismanagement in een bedrijf is georganiseerd.
Een securitymanager die zich nooit met een crisis bezighoudt, komt niet echt voor. Het kan zijn dat hij of zij zich niet met het geheel bezighoudt. Hoe je dan toch crisismanagement kunt inrichten? Door de functie security en risk te maken. Dit dient ook in de raad van bestuur goed belegd te worden. Ergens moet het geheel worden overspannen.”
> LEES OOK: “Voor een crisis heb je een brede basis nodig”
Heb je een voorbeeld van bedrijven of organisaties die het uitermate goed geregeld hebben?
“Ik kom uit bij de overheid. Waarom? Omdat ze bij de overheid een cultuur hebben van openbaarheid waardoor de overheid fouten ook openbaar maakt en daarvan leert. Zo kun je de evaluatierapporten van grote crisissituaties, zoals de watersnoodramp in Limburg, gewoon online terugvinden. Daar kunnen ook andere organisaties veel van leren en dat is ook wat je wilt als overheid. Niet alleen als het gaat over waterbeheersing, maar ook als we praten over de zorg, cyberrisico’s of de luchtvaart.
Luchtverkeersleiding Nederland heeft als basismotto: ‘We vliegen veilig, of we vliegen niet’. De hele operatie is hierop ingericht. Dat geeft een gerust gevoel als je in een vliegtuig stapt.
tel.: 030-4100677.
Volg Security Management op LinkedIn
