blog

Bestuurlijke sensitiviteit

jan-karel

4 min read
Bestuurlijke sensitiviteit
Photo by Europeana / Unsplash

He, bestuurder. Je toko staat (figuurlijk) in de fik.

Kwam toevallig deze week weer ter sprake...

Er bestaat een zin die in een gemiddelde operatiekamer van een organisatie klinkt als een heldere noodkreet en in een bestuurskamer als een onhandige sollicitatie naar “iemand die binnenkort niet meer in de distributielijst staat”:

“He, pik. Je toko staat in de fik.”

Operationeel is dit topcommunicatie. Kort. Direct. Iedereen snapt: rennen, blussen, schade beperken. Bestuurlijk is het… tja. Bestuurlijk is het alsof je in de bestuursvergadering binnenvalt, op de beamer klapt en roept: “Oké, mensen: 300 kritieke bevindingen—zet je agenda maar vast voor de komende drie maanden, want alles wat jullie belangrijk vinden kan voorlopig de prullenbak in.”

En toch is de boodschap dezelfde. Er is een probleem. Een groot probleem. In jouw geval: 300 kritieke bevindingen. Niet drie. Niet dertig. Driehonderd. Dat is geen “aandachtspuntje”. Dat is een complete menukaart aan risico, met als daghap: spijt achteraf.

De truc is: je moet leren dat organisaties drietalig zijn.

Taal 1: Operationeel

  • “We hebben 300 kritieke findings.”
  • “Dat kan morgen misgaan.”
  • “Stop met prutsen en fix dit.”

Helder. Ruw. Functioneel. Als ducttape: niet mooi, wel effectief.

Taal 2: Tactisch

Dat wordt een ander blogpostje over de tweede lijn... Oh boy.

Taal 3: Strategisch

  • “Wat is de impact op continuïteit, compliance en reputatie?”
  • “Hoe zeker weten we dit?”
  • “Wat kost het, wat levert het op, en wie gaat het doen?”
  • “Welke beslissingen moeten wij nú nemen?”

Taal 3/Bestuurlijke taal is geen poëzie. Het is risico in beslisbare blokjes.

En precies daar gaat het vaak mis bij “300 kritieke bevindingen”: de afzender communiceert alsof hij aan het blussen is, terwijl de ontvanger eerst wil weten waar de brand is, hoe snel die uitbreidt, en of we de brandweer of het leger en gekke Visser moeten bellen.

Waarom “300” meteen weerstand oproept

Zeg “300 kritieke bevindingen” en je ziet een bestuurder innerlijk drie dingen doen:

  1. Ontkennen (“Dat kan niet. We zijn toch ISO-iets?”)
  2. Verdedigen (“Wie heeft dit gemeten? Wat is ‘kritiek’ überhaupt?”)
  3. Verdunnen (“Kunnen we dit niet ‘aandachtspunten’ noemen?”)

Niet omdat bestuurders slecht zijn. Maar omdat 300 geen getal is. Het is een identiteitsaanval. Het suggereert: jullie hebben de tent laten verslonzen. En dan gaat het menselijk brein niet naar “oplossen”, maar naar “beschermen”.

Dus: als je wilt dat het bestuur handelt, moet je voorkomen dat ze eerst harnas aantrekken.

Bestuurlijke sensitiviteit: zeg het ergste, maar doseer de schrik

Je hoeft niet te liegen. Je hoeft niet te masseren tot er niets meer overblijft. Je moet kaderen.

Stap 1: Begin met het doel (niet met het getal)

Niet: “We hebben 300 kritieke bevindingen.”
Wel:
“Wij willen vandaag één ding bereiken: besluiten nemen waarmee we binnen 90 dagen het grootste risico drastisch verlagen.”

Bestuurders houden van besluiten. Geef ze meteen een deur om doorheen te lopen.

Stap 2: Scheid feiten, betekenis en actie

Feit: “Er zijn 300 kritieke bevindingen vastgesteld volgens onze definitie X.”
Betekenis: “Als we niets doen, is de kans op incidenten (uitval, datalek, onrechtmatige uitgaven, toezicht) reëel.”
Actie: “We vragen vandaag om prioriteiten, middelen en mandaat.”

Dat is bestuurlijk comfortfood: structuur.

Stap 3: Maak 300 klein door het groot te maken (ja, echt)

300 klinkt als chaos. Dus je maakt er patronen van:

  • “300 bevindingen vallen in 5 clusters.”
  • “80% zit in 2 oorzaken: gebrek aan eigenaarschap en versnipperde logging/controle.”
  • “We kunnen binnen 6 weken de top-30 risico’s mitigeren.”

Je zegt dus: het is groot, maar niet onbeheersbaar.

Stap 4: Geef een schaal: wat betekent “kritiek” hier?

“Kritiek” zonder definitie is als “gevaarlijk dier” zonder te zeggen of het om een wesp gaat of een nijlpaard.

Bijvoorbeeld:

  • Kritiek = leidt tot directe compliance breachmateriële financiële fouternstige continuïteitsimpact, of hoog risico op datalek/veiligheidsincident.

Zonder definities gaan mensen onderhandelen over het woord in plaats van handelen op het probleem. Kijk ook even naar de impacts gebieden van de BIO2, die zijn ook relevant.

Stap 5: Profit

Euh....

De vertaling van “He, pik” naar bestuurskamer

Hier zijn drie versies van dezelfde boodschap — van “blauwdruk” naar “bestuurlijk”.

Elevator pitch (30 seconden)

“Uit een recent onderzoek blijkt dat we 300 kritieke bevindingen hebben binnen onze processen en systemen. Dat klinkt heftig, maar het is te groeperen in vijf thema’s en we zien duidelijke oorzaken. Het belangrijkste: als we niets doen, lopen we reëel risico op incidenten en toezichts- of reputatieschade. We hebben een plan in drie fasen; vandaag vragen we mandaat en middelen om de top-30 risico’s binnen 60 dagen te mitigeren.”

De “bestuurlijke openingszin” (die soms werkt)

“Dit is een beheersings- en continuïteitsvraagstuk. We kunnen het oplossen, maar niet zonder prioritering en eigenaarschap op bestuursniveau.”

Dat is de nette versie van “je toko staat in de fik” — maar de brandlucht zit er nog steeds in.

De “confronterend maar elegant”-zin

“Als we dit niveau van kritieke bevindingen accepteren, accepteren we impliciet een kans op een ernstig incident. Dat is een keuze. Die keuze ligt bij ons.”

Bestuurders begrijpen keuzes. Zeker als je ze onvermijdelijk maakt.

Wat je vooral níét moet doen (ook al voelt het lekker)

  • Geen dump van 300 regels in een bijlage met “succes ermee”.
  • Geen sarcasme (“Ja, dit hadden we dus al jaren moeten doen…”) — je wilt bondgenoten, geen vijanden.
  • Geen paniekporno (“Het is code rood, apocalyps, kinderen huilen.”) — bestuurders gaan dan procedures starten in plaats van problemen oplossen.
  • Geen ‘we lossen het op’ zonder vraag — dan denken ze: mooi, succes, laat het weten als het klaar is.

Het bestuurlijke recept: probleem → risico → optie → besluit

Als je 300 kritieke bevindingen brengt, breng dan meteen het menu voor besluitvorming:

  1. Wat zijn de top-risico’s (max 5)?
  2. Wat gebeurt er als we niets doen (impact + waarschijnlijkheid)?
  3. Wat is de snelste risicoreductie (top-30 in 60-90 dagen)?
  4. Wat zijn de drie keuzes waar het bestuur écht over moet beslissen?
    • Prioriteit boven projecten?
    • Budget vrijmaken?
    • Mandaat: wie is eigenaar, wie mag ‘nee’ zeggen?

Dan wordt “300” geen aanklacht, maar een bestuurbaar dossier. Bedank mij later.