Tillitsledelse – hva er det, egentlig?
Det synes naturlig først å forklare betydningen av tillit. Det finnes mange definisjoner, men de fleste koker ned til omtrent følgende:
Tillit karakteriserer i hvilken grad en part A er villig til å være avhengig av en part B's handlinger med hensyn til noe som er av verdi for part A.
Tillit er altså en relasjon mellom en tillitsgiver A og en tillitsmottaker B. Tillit er subjektiv i betydning av å representere tillitsgivers tro eller oppfatning av tillitsmottaker. Tillitsgiver kan ha tillit til en tillitsmottaker som ikke er tillitsverdig, og omvendt.
Tillit er relevant kun hvis det forelegger risiko – det at handlingene til tillitsmottaker B faktisk kan skade noe av verdi for tillitsgiver A.
Jeg – som tillitsgiver – tør ikke kjøre bil på en vanlig riksvei uten høy grad av tillit til at motgående trafikk – min tillitsmottaker – holder seg på sin side av veien.
«Vi kan ha tillit til bremsene på en bil, lynnet til en hest eller et bestemt varemerke»
Tillitsmottaker kan være et menneske, men trenger ikke være det. Vi kan ha tillit til bremsene på en bil, lynnet til en hest eller et bestemt varemerke. Tillitsgiver kan være et menneske, et dyr eller en sosiologisk struktur, som for eksempel en bedrift. Tillit avhenger av erfaring og en slags følelsesbasert, mental prosessering av denne erfaringen. Basert på resultatet av denne prosesseringen tar vi valg.
Datamaskiner gjør også valg basert på erfaring, representert ved innsamlede data, og prosessering, men da i henhold til en formell algoritme. Resultatet av denne prosesseringen omtales i visse sammenhenger som elektronisk tillit. Som for menneskelig tillit kan det være stor diskrepans mellom elektronisk tillit og tillitsmottakers reelle tillitsverdighet, enten fordi de innsamlede dataene er utilstrekkelige, eller fordi algoritmen har alvorlige svakheter.
Tillitsledelse: Uavhengig av om vi fokuserer på menneskelig tillit, elektronisk tillit, eller begge deler, finnes det minst tre ulike vinklinger på tillitsledelse:
Tillitsledelse på vegne av tillitsgiver Tillitsledelse på vegne av tillitsmottaker Tillitsledelse med hensyn til system som inkluderer både tillitsgivere og deres tillitsmottakere. Systemet kan for eksempel være en bedrift.
I det følgende ser vi nærmere på hver enkelt av disse.
Tillitsledelse på vegne av tillitsgiver: Skal tillitsgiver treffe gode beslutninger er det viktig at tillitsgivers vurdering av tillitsmottaker er mest mulig korrekt. Med andre ord, at tilliten til mottaker svarer til mottakers tillitsverdighet.
For høy/lav tillit kan medføre at tillitsgiver tar for mye/lite risiko – i begge tilfeller med tap som potensielt resultat. Er tillitsgiver en bedrift dreier denne formen for tillitsledelse seg om å planlegge og operasjonalisere bedriftens vurdering av tillitsverdigheten til relevante eksterne og interne aktører. Det inkluderer også utforming av policyer for elektronisk tillit – under hvilke betingelser skal for eksempel bedriftens IT-systemer tillate ekstern oppkobling eller gi tilgang til ulike typer aktiva.
Når norske bedrifter for eksempel setter bort deler av driften til utlandet er denne type tillitsledelse essensiell: Kan vi stole på at den utenlandske aktøren utfører sine tjenester i henhold til den dokumentasjon og de kontrakter som foreligger? Statoil-skandalen om en tastefeil i fjor høst, og Nødnett-skandalen med drifting fra India fra i år, viser at denne type vurderinger er alt annet enn trivielle.
Tillitsledelse på vegne av tillitsmottaker: Tillitsmottakers utfordring består i å kommunisere sin reelle tillitsverdighet til potensielle tillitsgivere på en overbevisende måte.
I praksis vil nok de fleste tillitsmottakere oppfatte en for høy tillit (større enn reell tillitsverdighet) som noe positivt. Store summer investeres årlig i markedsføring med nettopp det formål, men det er ikke vårt tema her. For en bedrift dreier denne formen for tillitsledelse seg om å planlegge og operasjonalisere bedriftens fremstilling av seg selv eksternt så vel som internt. Bruk av såkalt tiltrodd tredje part er vanlig. Sertifisering via tiltrodd part, for eksempel DNV-GL, er en måte for å underbygge egen tillitsverdighet på.
For elektroniske betalingsløsninger er for eksempel BankId en tiltrodd tredje part. Et spesielt fokusområde under denne hatten er håndtering av dramatiske tillitstap som følge av spesielle hendelser. IT-selskapene sin respons på Snowden-lekkasjene illustrerer ulike fremgangsmåter. Mens «Microsoft blånektet for NSA-samarbeid» utstedte den norske skytjenesteleverandøren en personverngaranti: «Folk vil ha norsk lagring for å unngå amerikansk overvåking».
Tillitsledelse med hensyn til system som inkluderer både tillitsgivere og deres tillitsmottakere: Et systems tillitsrelasjoner kan ha stor innvirkning på systemets kvaliteter.
Manglende tillit til konsernets ledelse kan medføre manglende etterlevelse av sikkerhetsforordninger, med dårlig sikkerhet som resultat. I dette tilfellet er systemet et konsern, men det kan også være noe så trivielt som et lilleputtlag i fotball. Mangler spillerne tillit til treneren vil laget trolig spille dårlig.
Fra et bedriftsperspektiv dreier denne formen for tillitsledelse seg om å planlegge og operasjonalisere bedriftens prosesser relatert til hvordan kvalitetene til bedriftens systemer, og egentlig bedriften selv, avhenger av innebygde tillitsrelasjoner – menneskelige så vel som elektroniske. Det inkluderer å skaffe seg forståelse av nåsituasjonen, å følge dens utvikling over tid samt å ta grep for å håndtere problemer og redusere uheldige konsekvenser.
Et skifte fra såkalt kontrollbasert ledelse, tillitsbasert ledelse eksemplifiserer grep som kan tas hvis man mener det vil forbedre egen virksomhet.
Sammendrag: IT-folk har forkjærlighet for engelsk og benytter termen «trust management» også når de snakker norsk, mens lederutviklere tenderer til å benytte termen tillitsledelse i betydning tillitsbasert ledelse. Uansett, tillitsledelse er et sammensatt begrep som kan dekomponeres i minst tre ulike former som i praksis representerer svært ulike oppgaver.
Ketil Stølen er sjefsforsker ved SINTEF og leder av Forskningsgruppen for kyberrisiko. Han er også Professor II ved Universitetet i Oslo.