Reading time 18 minutes

De Rumsfeld Matrix is een interessant instrument om een kwetsbaarheidsanalyse mee uit te voeren. Elk kwadrant staat voor een categorie aan kwetsbaarheden die de strategische doelen en misschien zelfs wel de levensvatbaarheid van je organisatie kunnen bedreigen. Alles bij elkaar geeft het een beeld hoe je organisatie er voor staat. In ieder geval voor jezelf.

Rumsfeld Matrix

Vorige week overleed Donald Rumsfeld op 88 jarige leeftijd. Twee keer was hij minister van Defensie in Amerika en daar gold hij als één van de haviken. Zo bereidde hij bijvoorbeeld de weg tot de invasie in Irak met de stelling dat daar massavernietigingswapens ontwikkeld zouden worden.

Tijdens een persconferentie op 12 februari 2002 verwoordde hij zijn claim als volgt:

Reports that say that something hasn’t happened are always interesting to me, because as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns—the ones we don’t know we don’t know. And if one looks throughout the history of our country and other free countries, it is the latter category that tends to be the difficult ones.

donald rumsfeld

Deze quote over de unknown unknowns werd op slag wereldberoemd. Grote groepen risico-analisten gingen er mee aan de haal en in no time bestond er zoiets als de Rumsfeld Matrix: een assenkruis met twee variabelen over dingen die jij weet en dingen die anderen weten. Soms geparafraseerd als kennis (knowledge), bewustzijn (awareness), risico’s of gebeurtenissen (events).

Dan krijg je bijvoorbeeld zo’n figuur, die ik ook al eens in een eerder blog gebruikte:

Rumsfeld Matrix
Een vorm van de Rumsfeld Matrix

Het interessante was dat Rumsfeld het zelf helemaal niet over een matrix had. Dat was wat anderen er van maakten, waarschijnlijk heeft hij het zelf nooit zo bedoeld.

Er is daarna ook veel gespeculeerd of hij al dan niet expres de categorie unknown knowns in zijn uitspraak heeft vermeden. Dat gebeurde vooral door mensen die in de Rumsfeld Matrix een vorm van het Johari venster zagen. We doen daarom even een uitstapje. Want al dan niet zo bedoeld, ze worden aan elkaar gelinkt.

Johari venster

Het Johari venster is bedacht door Joseph Luft en Harry Ingham en was bedoeld om meer zicht op je eigen kwaliteiten te krijgen. Ook hier draait het om twee variabelen. De ene is wat je over jezelf weet en de tweede is wat anderen over jou weten. Dat levert vervolgens vier kwadranten op.

De open ruimte is vergelijkbaar met de known knowns van de Rumsfeld Matrix. Daar kun je vrij over spreken. De blinde vlek is wat anderen van jou weten, maar jij niet (bewust) over jezelf. Door het vragen en krijgen van feedback wordt die vlek kleiner en de open ruimte groter.

Johari Venster
Johari Venster

Iets soortgelijks geldt voor de verborgen plek. Door (zelf)onthulling wordt de open ruimte opnieuw groter. En dat is wat in veel theorieën over gedrag als belangrijk doel wordt gezien, het vergroten van de open ruimte en het verbeteren van een (werk)relatie.

Overigens kunnen verraad en geheimpjes verklappen ook gezien worden als vormen van onthulling. Dat draagt dan weer minder bij aan een goede relatie.

Het onbekende gebied tenslotte is een beetje een vreemde eend in de bijt. Hij volgt automatisch uit de techniek van een assenkruis maar dat maakt het niet persé logisch. Kan er wel een gebied bestaan dat voor beiden onbekend is? Het onbewuste gebruiken als verklaring vind ik in deze een moeizame oplossing. Ik ga er daarom hier ook niet verder op in.

Tijd om weer terug te gaan naar de Rumsfeld Matrix. Hoe zien de vier kwadranten er uit als je ze los laat voor een kwetsbaarheidsanalyse?

Unknown Unknowns: Terra Incognita

De terra incognita, het onbekende gebied, wordt door velen als de kern gezien van de Rumsfeld Matrix, door zijn uitspraak over de unknown unknowns. Het is echter de vraag of dat in de praktijk ook zo is in termen van rendement. Hoeveel tijd moet je stoppen in unknown unknowns en hoeveel minder kwetsbaar ben je daarna?

Voor Rumsfeld zelf was de unknown unknown gewoon een boef die in het geheim snode plannen zat te verzinnen. Dat was wat hem betreft genoeg reden om de snoodaard in zijn geheel te vernietigen. In de logica van Rumsfeld wordt onbekend gebied uiteindelijk altijd verschroeide aarde.

Toen Taleb kwam met zijn theorie over de black swans was de link met unknown unknown ook weer snel gelegd. Volgens Taleb heeft een black swan drie kenmerken:

  • Hij is onvoorspelbaar voor de beschouwer, er is geen precedent.
  • De impact is enorm.
  • Men probeert de black swan achteraf, met hindsight bias, als voorspelbaar te kwalificeren.

Dat maakt het echter niet zonder meer tot een unknown unknown. Iets niet weten is wat anders dan het onwaarschijnlijk achten. Die stelling categoriseert een black swan dus soms ook als een known unknown.

Dan de fundamental surprise, ik schreef er eerder over in dit blog. Een fundamental surprise is een verrassing die je niet hebt zien aankomen door een gebrekkig zicht op de werkelijkheid. Vaak door een te groot ego of zelfgenoegzaamheid.

In ieder geval ben je het contact met de werkelijkheid zodanig verloren dat je het kunt opvatten als onbekend gebied. Ook die kan je zien als unknown unknown, alhoewel sommige surprises ook een unknown known kunnen zijn. Dan weet je het eigenlijk wel, maar verdring je het. Daar kom ik zo meteen nog op.

Voor de kwetsbaarheidsanalyse met de Rumsfeld Matrix is het kwadrant van de unknown unknown eigenlijk samen te vatten als terra incognita. Je weet het niet, wat en wie zich daar afspeelt. Veel security risico’s, zoals sabotage en aanslagen, zijn daarom unknown unknown.

Toch kan je wel enigszins inschatten of het een groot dan wel klein gebied zal zijn, afhankelijk van je totale risicoprofiel. Voor een handelaar in schoolboeken zal het vermoedelijk kleiner zijn dan voor een luchthaven.

De omgang met unknown unknowns vraagt om creativiteit en innovatie. Misschien zelfs wel transformatie.

Unknown knowns: De biecht

De unknown knowns vormen een pikante categorie. Het bevat risico’s die je zou kunnen weten, maar je kent ze niet echt. Of je wil ze niet kennen. Misschien vindt een organisatie het zelfs onzin en bagatelliseert ze het gevaar.

Hoe dan ook, de unknown knowns maken een organisatie kwetsbaar voor onthullingen. Daarom gaan ze onder de titel van de biecht.

Washington D.C. (Oct. 2, 2003) — Secretary of Defense, Donald H. Rumsfeld responds to a reporter’s question during a Pentagon press briefing. Gen. Myers and Donald Rumsfeld gave reporters an operational update on Operation Iraqi Freedom. DoD photo by Tech. Sgt. Andy Dunaway. (RELEASED)

Waar kan je dan allemaal aan denken? Een onvolledige opsomming:

  • Informatieasymmetrie. Er wordt slecht gecommuniceerd binnen de organisatie. Informatie is handel, stroomt niet naar de juiste plekken, wordt achtergehouden of niet gekwalificeerd als belangrijk voor anderen.
  • Fundamental surprise. Zie hierboven.
  • Reason’s vulnerable organisations. Die hebben allemaal drie kenmerken: blame, denial and the blinkering pursuit of the wrong goals.
  • De zwarte eend. Onmogelijke gebeurtenissen met een grote impact die veroorzaakt worden door stommiteiten, het Dunning Kruger complex en/of failing upwards.
  • Insider threats zoals datadiefstal en spionage

Om een pijnlijke biecht te voorkomen moet je organisatie divers en eerlijk zijn.

Known Unknowns: Onzekerheid

Known unknowns zijn voorzienbare risico’s waarvan je desondanks niet goed kunt inschatten wat je wanneer kan verwachten. Dit kwadrant gaat over onzekerheid. Over dergelijke risico’s zegt men dat het niet de vraag is of het gebeurt, maar wanneer. Een paar voorbeelden:

  • Normal accidents. Conform Perrow. Complexe processen met strakke koppelingen zijn storingsgevoelig. Omdat ze onvoorspelbaar zijn. Maar omdat je kunt bedenken of jouw organisatie gevoelig is voor normal accidents, kun je er wel iets aan doen.
  • Klimaat. Het is bekend dat de klimaatverandering tot extremer weer leidt. Hoe extreem is nog onzeker.
  • Geopolitieke ontwikkelingen. Hoe gaat de wereldpolitiek eruit zien?
  • Afloop van pandemieën.
  • Beschikbaarheid van grondstoffen en energie.
  • Landelijke politieke ontwikkelingen
  • Cyber

Known unknowns bevat risicotypes die nu ook al bij veel organisaties in hun enterprise riskmanagement voorkomen. Om onzekerheid te managen moet je verbinding zoeken en nieuwsgierig zijn.

Known Knowns: De klassieken

Dit is in zekere zin de makkelijkste categorie. Het zijn risico’s die je kunt inventariseren en kwalificeren. Je kunt er getallen aangeven en je kunt er aan rekenen. Er zijn massa’s instrumenten bedacht om de known knowns onder controle te brengen: de Bow Tie, HAZOP en FMEA, om er maar eens drie te noemen. Dit kwadrant zou je ook kunnen zien als het reguliere risicomanagement. Als je dat goed uitvoert heb je het eigenlijk niet over kwetsbaarheden.

Knowns knowns worden wel kwetsbaarheden als je het risico management niet goed of onvolledig uitvoert. Door slechte bedrijfsvoering, onvoldoende kennis of onverschilligheid. Maar eigenlijk zit je dan al weer bij de unknown knowns.

Nog een gevaar: dat je de known knowns verwart met andere kwetsbaarheden en daarom denkt dat je de boel onder controle hebt.

Om de known knowns te managen moet je weten waar je het over hebt. Je moet zorgvuldig en vakbekwaam zijn.

Rumsfeld Matrix: de eerste afrekening

Het was tijdens het schrijven van dit blog dat een aantal ideeën zich pas voor de eerste keer vormde. Ik had eigenlijk gedacht een kort stukje te maken naar aanleiding van het overlijden van Rumsfeld, maar al schrijvende deden zich allerlei vragen voor die ik mij eerder niet gesteld had. Ik kom er dus zeker nog eens op terug. Wat kan ik nu al zeggen over de Rumsfeld Matrix?

  • Het idee van de kwetsbaarheidsanalyse komt uit het business continuity management. Tegelijk zie je hoe lastig het is een mooi scheidslijntje te maken tussen BCM, crisismanagement en risicomanagement. Ik denk dat de Rumsfeld Matrix verbinding kan leggen tussen die disciplines. Vooruit, doen we security en safety er ook bij.
  • Eigenlijk zie je dat alleen de known knowns volledig onder controle van de eigen organisatie kunnen staan. Het merendeel van de kwetsbaarheden uit de andere kwadranten ontstaat dus in interactie met anderen: in je sector, je eigen land, Europa en de rest van de wereld.
  • Kwetsbaarheden kun je, net als crises, alleen managen in interactie met anderen. Je moet je dus aanpassen. Adapt!
  • Een groot deel van de kwetsbaarheden veroorzaak je mogelijk zelf. Organisaties zijn niet alleen slachtoffer, maar ook dader.
  • Als je kwetsbaarheden wilt managen, dan is dit de vereiste capability van je organisatie: vakbekwaam, zorgvuldig, verbindend, nieuwsgierig, eerlijk, divers, creatief en innovatief.

I’ll be back!

Update: Kwetsbaarcoronabeleid zomer 2021

Nog geen vier dagen geleden postte ik een blog over kwetsbaarheidsanalyse met de Rumsfeld Matrix en nu al kwam het kabinet met een prachtige illustratie ervan over de kwetsbaarheid van het coronabeleid. Want het aantal besmettingen liep in een week nogal uit de hand na de versoepelingen van eind juni; het verzesvoudigde naar zo’n 52.000. Niet dat dit niet voorzienbaar was overigens.

Sterker nog, eind juni was de afloop van de pandemie op te vatten als een known unknown. Je hebt de data, de modellen en de kennis over risicomanagement om een realistisch scenario op te stellen. Het RIVM kan dat prima uitrekenen.

Known Unknown

Vervolgens gooi je er de mogelijke complicatie- en escalatiefactoren overheen. Daarmee probeer je in te schatten wat het objectieve beeld uit de modelberekeningen kan verstoren. En dat is nogal wat. Een paar voorbeelden:

  • Alle Field Lab experimenten zijn in een gecontroleerde omgeving uitgevoerd. De versoepelingen vinden plaats in een ongecontroleerde omgeving. Dat heeft dus een negatieve invloed op de betrouwbaarheid van het model.
  • De jongeren zijn ruim anderhalf jaar niet op pad geweest. Die gaan er natuurlijk en masse op uit. Klein dingetje: ze zijn niet gevaccineerd. Wat gaat er gebeuren als je een complete generatie uit de stal in de wei laat die niet gevaccineerd is?
  • Degenen die wel gevaccineerd zijn met Janssen mogen ver voor het bereiken van hun weerstandsgraad al gaan dansen. En zijn dus functioneel niet gevaccineerd.
  • Veel van de feesten en gelegenheden die open gaan hebben de potentie van een superspread event: veel mensen dicht op elkaar in besloten ruimtes.
  • De delta variant is veel besmettelijker dan de eerdere virusstammen.

Kortom, alle variabelen dragen negatief bij aan het besmettingsrisico. Veel reden dus om de teugels voorzichtig te lossen. Eerst maar eens kijken wat er gaat gebeuren en dan pas de volgende stap.

Ook dit is een bekende strategie uit het crisismanagement in complexe omgevingen: probing first. Kijken hoe het systeem reageert, aanpassen en vervolgens continu verbeteren. Net zo lang tot er voldoende kennis is om het vraagstuk als complicated te bestempelen. Ook niet makkelijk, maar wel beter voorspelbaar.

Unknown known

Alles bij elkaar is een gecontroleerde versoepelingsstrategie dus de meest rationele oplossing. Niet de hele bups in één keer lossen, maar stapje voor stapje. Toch is dat niet wat er gebeurd is. Het lijkt er daarom sterk op dat het kabinet in het unknown known kwadrant terecht is gekomen. Door tunnelvisie.

Ook die tunnelvisie is voorspelbaar, zoals ik in dit blog beschreef. Er zijn namelijk vier situaties waarin je bijzonder gevoelig bent voor stress, het verlies van metacognitie en verminderen van je belastbaarheid. Zeg maar slecht zicht en starheid. Daar knap je meestal niet van op. Het gaat om deze vier situaties en ja, die zijn typerend voor crises:

  • Als je iets verwacht
  • Als je iets graag wilt of een heel sterk doel hebt gezet
  • Als je ergens volledig door in beslag wordt genomen
  • Als je iets aan het afmaken bent

Het kabinet is en groupe in die tunnel terecht gekomen, mede onder zware druk van de Tweede Kamer en belangengroeperingen. En dat hebben ze niet door gehad. Ze zijn zichzelf kwijt geraakt. Met als meest overtuigend bewijs dit optreden van minister Grapperhaus.

Ook de persconferentie van Rutte en De Jonge van vrijdag 9 juli vloog gierend uit het spoor. Ze waren kort door de bocht, geïrriteerd en niet bereid tot reflectie.

Maar, zoals ik over de unknown knowns schreef, het is het kwadrant van de biecht. Je moet naar jezelf kijken, naar je ego, je zwakheden en je vooringenomen aannames. De invloed van verzwarende omstandigheden. En dan misschien excuses aanbieden, terugkomen op eerdere standpunten. Dat deed Rutte op maandag 12 juli als volgt.

Ik vond het zelf niet heel overtuigend, deze biecht. Geen maatregelen om het probleem te voorkomen, gewoon door op de ingeslagen weg. Met de kennis van nu zou hij het zo niet gedaan hebben. Maar die kennis om het wel anders te doen was er al die tijd al. Een known unknown. Alleen niet bij het kabinet, kennelijk. Daar was en is het een unknown known. Kwetsbaar.


Dit is deel 9 in een serie over disruptie- en crisismanagement

  1. Kleine taxonomie van de ongewenste gebeurtenis
  2. Dikke BOB is voor Disruptie
  3. De zes B’s van de Dikke BOB
  4. De ellende van complicatie- en escalatiefactoren
  5. Beginselen van disruptiemanagement
  6. Beeldvorming trainen voor de Dikke BOB
  7. De onderstroom van crisis
  8. De VUCA vinklijst voor disruptie en crisis
  9. Kwetsbaarheidsanalyse met de Rumsfeld Matrix