Leestijd: 7 minuten

De Rumsfeld Matrix is een interessant instrument om een kwetsbaarheidsanalyse mee uit te voeren. Elk kwadrant staat voor een categorie aan kwetsbaarheden die de strategische doelen en misschien zelfs wel de levensvatbaarheid van je organisatie kunnen bedreigen. Alles bij elkaar geeft het een beeld hoe je organisatie er voor staat. In ieder geval voor jezelf.

Rumsfeld Matrix

Vorige week overleed Donald Rumsfeld op 88 jarige leeftijd. Twee keer was hij minister van Defensie in Amerika en daar gold hij als één van de haviken. Zo bereidde hij bijvoorbeeld de weg tot de invasie in Irak met de stelling dat daar massavernietigingswapens ontwikkeld zouden worden.

Tijdens een persconferentie op 12 februari 2002 verwoordde hij zijn claim als volgt:

Reports that say that something hasn’t happened are always interesting to me, because as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns—the ones we don’t know we don’t know. And if one looks throughout the history of our country and other free countries, it is the latter category that tends to be the difficult ones.

donald rumsfeld

Deze quote over de unknown unknowns werd op slag wereldberoemd. Grote groepen risico-analisten gingen er mee aan de haal en in no time bestond er zoiets als de Rumsfeld Matrix: een assenkruis met twee variabelen over dingen die jij weet en dingen die anderen weten. Soms geparafraseerd als kennis (knowledge), bewustzijn (awareness), risico’s of gebeurtenissen (events).

Dan krijg je bijvoorbeeld zo’n figuur, die ik ook al eens in een eerder blog gebruikte:

Rumsfeld Matrix
Een vorm van de Rumsfeld Matrix

Het interessante was dat Rumsfeld het zelf helemaal niet over een matrix had. Dat was wat anderen er van maakten, waarschijnlijk heeft hij het zelf nooit zo bedoeld.

Er is daarna ook veel gespeculeerd of hij al dan niet expres de categorie unknown knowns in zijn uitspraak heeft vermeden. Dat gebeurde vooral door mensen die in de Rumsfeld Matrix een vorm van het Johari venster zagen. We doen daarom even een uitstapje. Want al dan niet zo bedoeld, ze worden aan elkaar gelinkt.

Johari venster

Het Johari venster is bedacht door Joseph Luft en Harry Ingham en was bedoeld om meer zicht op je eigen kwaliteiten te krijgen. Ook hier draait het om twee variabelen. De ene is wat je over jezelf weet en de tweede is wat anderen over jou weten. Dat levert vervolgens vier kwadranten op.

De open ruimte is vergelijkbaar met de known knowns van de Rumsfeld Matrix. Daar kun je vrij over spreken. De blinde vlek is wat anderen van jou weten, maar jij niet (bewust) over jezelf. Door het vragen en krijgen van feedback wordt die vlek kleiner en de open ruimte groter.

Johari Venster
Johari Venster

Iets soortgelijks geldt voor de verborgen plek. Door (zelf)onthulling wordt de open ruimte opnieuw groter. En dat is wat in veel theorieën over gedrag als belangrijk doel wordt gezien, het vergroten van de open ruimte en het verbeteren van een (werk)relatie.

Overigens kunnen verraad en geheimpjes verklappen ook gezien worden als vormen van onthulling. Dat draagt dan weer minder bij aan een goede relatie.

Het onbekende gebied tenslotte is een beetje een vreemde eend in de bijt. Hij volgt automatisch uit de techniek van een assenkruis maar dat maakt het niet persé logisch. Kan er wel een gebied bestaan dat voor beiden onbekend is? Het onbewuste gebruiken als verklaring vind ik in deze een moeizame oplossing. Ik ga er daarom hier ook niet verder op in.

Tijd om weer terug te gaan naar de Rumsfeld Matrix. Hoe zien de vier kwadranten er uit als je ze los laat voor een kwetsbaarheidsanalyse?

Unknown Unknowns: Terra Incognita

De terra incognita, het onbekende gebied, wordt door velen als de kern gezien van de Rumsfeld Matrix, door zijn uitspraak over de unknown unknowns. Het is echter de vraag of dat in de praktijk ook zo is in termen van rendement. Hoeveel tijd moet je stoppen in unknown unknowns en hoeveel minder kwetsbaar ben je daarna?

Voor Rumsfeld zelf was de unknown unknown gewoon een boef die in het geheim snode plannen zat te verzinnen. Dat was wat hem betreft genoeg reden om de snoodaard in zijn geheel te vernietigen. In de logica van Rumsfeld wordt onbekend gebied uiteindelijk altijd verschroeide aarde.

Toen Taleb kwam met zijn theorie over de black swans was de link met unknown unknown ook weer snel gelegd. Volgens Taleb heeft een black swan drie kenmerken:

  • Hij is onvoorspelbaar voor de beschouwer, er is geen precedent.
  • De impact is enorm.
  • Men probeert de black swan achteraf, met hindsight bias, als voorspelbaar te kwalificeren.

Dat maakt het echter niet zonder meer tot een unknown unknown. Iets niet weten is wat anders dan het onwaarschijnlijk achten. Die stelling categoriseert een black swan dus soms ook als een known unknown.

Dan de fundamental surprise, ik schreef er eerder over in dit blog. Een fundamental surprise is een verrassing die je niet hebt zien aankomen door een gebrekkig zicht op de werkelijkheid. Vaak door een te groot ego of zelfgenoegzaamheid.

In ieder geval ben je het contact met de werkelijkheid zodanig verloren dat je het kunt opvatten als onbekend gebied. Ook die kan je zien als unknown unknown, alhoewel sommige surprises ook een unknown known kunnen zijn. Dan weet je het eigenlijk wel, maar verdring je het. Daar kom ik zo meteen nog op.

Voor de kwetsbaarheidsanalyse met de Rumsfeld Matrix is het kwadrant van de unknown unknown eigenlijk samen te vatten als terra incognita. Je weet het niet, wat en wie zich daar afspeelt. Veel security risico’s, zoals sabotage en aanslagen, zijn daarom unknown unknown.

Toch kan je wel enigszins inschatten of het een groot dan wel klein gebied zal zijn, afhankelijk van je totale risicoprofiel. Voor een handelaar in schoolboeken zal het vermoedelijk kleiner zijn dan voor een luchthaven.

De omgang met unknown unknowns vraagt om creativiteit en innovatie. Misschien zelfs wel transformatie.

Unknown knowns: De biecht

De unknown knowns vormen een pikante categorie. Het bevat risico’s die je zou kunnen weten, maar je kent ze niet echt. Of je wil ze niet kennen. Misschien vindt een organisatie het zelfs onzin en bagatelliseert ze het gevaar.

Hoe dan ook, de unknown knowns maken een organisatie kwetsbaar voor onthullingen. Daarom gaan ze onder de titel van de biecht.

Washington D.C. (Oct. 2, 2003) — Secretary of Defense, Donald H. Rumsfeld responds to a reporter’s question during a Pentagon press briefing. Gen. Myers and Donald Rumsfeld gave reporters an operational update on Operation Iraqi Freedom. DoD photo by Tech. Sgt. Andy Dunaway. (RELEASED)

Waar kan je dan allemaal aan denken? Een onvolledige opsomming:

  • Informatieasymmetrie. Er wordt slecht gecommuniceerd binnen de organisatie. Informatie is handel, stroomt niet naar de juiste plekken, wordt achtergehouden of niet gekwalificeerd als belangrijk voor anderen.
  • Fundamental surprise. Zie hierboven.
  • Reason’s vulnerable organisations. Die hebben allemaal drie kenmerken: blame, denial and the blinkering pursuit of the wrong goals.
  • De zwarte eend. Onmogelijke gebeurtenissen met een grote impact die veroorzaakt worden door stommiteiten, het Dunning Kruger complex en/of failing upwards.
  • Insider threats zoals datadiefstal en spionage

Om een pijnlijke biecht te voorkomen moet je organisatie divers en eerlijk zijn.

Known Unknowns: Onzekerheid

Known unknowns zijn voorzienbare risico’s waarvan je desondanks niet goed kunt inschatten wat je wanneer kan verwachten. Dit kwadrant gaat over onzekerheid. Over dergelijke risico’s zegt men dat het niet de vraag is of het gebeurt, maar wanneer. Een paar voorbeelden:

  • Normal accidents. Conform Perrow. Complexe processen met strakke koppelingen zijn storingsgevoelig. Omdat ze onvoorspelbaar zijn. Maar omdat je kunt bedenken of jouw organisatie gevoelig is voor normal accidents, kun je er wel iets aan doen.
  • Klimaat. Het is bekend dat de klimaatverandering tot extremer weer leidt. Hoe extreem is nog onzeker.
  • Geopolitieke ontwikkelingen. Hoe gaat de wereldpolitiek eruit zien?
  • Afloop van pandemieën.
  • Beschikbaarheid van grondstoffen en energie.
  • Landelijke politieke ontwikkelingen
  • Cyber

Known unknowns bevat risicotypes die nu ook al bij veel organisaties in hun enterprise riskmanagement voorkomen. Om onzekerheid te managen moet je verbinding zoeken en nieuwsgierig zijn.

Known Knowns: De klassieken

Dit is in zekere zin de makkelijkste categorie. Het zijn risico’s die je kunt inventariseren en kwalificeren. Je kunt er getallen aangeven en je kunt er aan rekenen. Er zijn massa’s instrumenten bedacht om de known knowns onder controle te brengen: de Bow Tie, HAZOP en FMEA, om er maar eens drie te noemen. Dit kwadrant zou je ook kunnen zien als het reguliere risicomanagement. Als je dat goed uitvoert heb je het eigenlijk niet over kwetsbaarheden.

Knowns knowns worden wel kwetsbaarheden als je het risico management niet goed of onvolledig uitvoert. Door slechte bedrijfsvoering, onvoldoende kennis of onverschilligheid. Maar eigenlijk zit je dan al weer bij de unknown knowns.

Nog een gevaar: dat je de known knowns verwart met andere kwetsbaarheden en daarom denkt dat je de boel onder controle hebt.

Om de known knowns te managen moet je weten waar je het over hebt. Je moet zorgvuldig en vakbekwaam zijn.

Rumsfeld Matrix: de eerste afrekening

Het was tijdens het schrijven van dit blog dat een aantal ideeën zich pas voor de eerste keer vormde. Ik had eigenlijk gedacht een kort stukje te maken naar aanleiding van het overlijden van Rumsfeld, maar al schrijvende deden zich allerlei vragen voor die ik mij eerder niet gesteld had. Ik kom er dus zeker nog eens op terug. Wat kan ik nu al zeggen over de Rumsfeld Matrix?

  • Het idee van de kwetsbaarheidsanalyse komt uit het business continuity management. Tegelijk zie je hoe lastig het is een mooi scheidslijntje te maken tussen BCM, crisismanagement en risicomanagement. Ik denk dat de Rumsfeld Matrix verbinding kan leggen tussen die disciplines. Vooruit, doen we security en safety er ook bij.
  • Eigenlijk zie je dat alleen de known knowns volledig onder controle van de eigen organisatie kunnen staan. Het merendeel van de kwetsbaarheden uit de andere kwadranten ontstaat dus in interactie met anderen: in je sector, je eigen land, Europa en de rest van de wereld.
  • Kwetsbaarheden kun je, net als crises, alleen managen in interactie met anderen. Je moet je dus aanpassen. Adapt!
  • Een groot deel van de kwetsbaarheden veroorzaak je mogelijk zelf. Organisaties zijn niet alleen slachtoffer, maar ook dader.
  • Als je kwetsbaarheden wilt managen, dan is dit de vereiste capability van je organisatie: vakbekwaam, zorgvuldig, verbindend, nieuwsgierig, eerlijk, divers, creatief en innovatief.

I’ll be back!