Risicomanagement in relatie tot beveiliging en veiligheid

Transcriptie

1 Risicomanagement in relatie tot beveiliging en veiligheid De laatste jaren beluisteren we in Beveiligingsland rond de benaming van het werkveld een verscheidenheid aan kreten. Om maar enkele voorbeelden te noemen: Beveiliging als middel om de continuïteit van het bedrijfsproces te optimaliseren. Veiligheid waar het gaat om de factor mens. Integrale veiligheidszorg waarbij deze processen in elkaar geschoven zijn. Risicomanagement om met name vanuit preventieoogpunt naar dit alles te kijken. Vraag en antwoord 1 wat is risicomanagement? Het aantal definities van risicomanagement is bijna onuitputtelijk. De belangrijkste elementen van dit begrip zijn allereerst de beschrijving van de bandbreedte van de risico s waar in dit verband naar gekeken wordt. Vervolgens wordt bepaald wat in deze het managen inhoudt en vooral dat de structurele en preventieve aanpak, op het goede niveau in de organisatie, essentieel is. Vervolgens dient er een keuze voor een juist processysteem gemaakt te worden waarbij borging van cruciaal belang is. Bij risico s wordt helder dat het vooral gaat om het reduceren van kans op en het effect van risico s van zuivere aard. Bij die zuivere risico s kan er uitsluitend, als zo n risico zich openbaart, kans zijn op nadelige effecten voor de organisatie. Die nadelige effecten moeten dan in beginsel te maken hebben met de veiligheid van personen of gericht zijn tegen de continuïteit van het bedrijfsproces. Het managen impliceert het bewust zodanig organiseren dat die processen zo goed mogelijk beheerst worden. Aspecten als analyse, sturing, controle en borging zijn net als een juiste communicatie daarbij van grote waarde. Alle fasen dienen periodiek aandacht te krijgen en met een frequentie die aansluit bij de ontwikkelingen van de organisatie en de maatschappij. 19

2 beveiliging in 100 vragen 2 waar in een organisatie past de positie van de risicomanager het best? Ook op dit punt heeft er een evolutie plaatsgevonden. Waar risicomanagement eerst een taak was voor een functionaris die er nog wel iets bij kon hebben, is dit inmiddels gebleken een vakgebied pur sang te zijn. Een specialisme met absoluut toegevoegde waarde voor de organisatie. Dit vakgebied vereist ook specifieke kennis en de functie vraagt om een juiste plek binnen de leiding van de organisatie. In principe dient die plaats zo dicht mogelijk tegen de eindverantwoordelijken van de organisatie aan te zijn. Dit heeft met name te maken met de thema s die vandaag de dag bij de risicomanager belegd zijn, zoals integriteitsvraagstukken, compliancezaken en bedrijfscontinuïteit. Of het een gescheiden functie is of dat zij in combinatie met andere verantwoordelijkheden wordt uitgevoerd, hangt af van de omvang en complexiteit van de organisatie. 3 kunnen beveiliging en veiligheid nog afzonderlijk geregeld zijn? Het is mogelijk een functionaris te hebben die belast is met veiligheidsvraagstukken en daarnaast iemand die beveiliging van de onderneming als taak heeft. Ook bestaat de combinatie van beide onderdelen in één functie. Uiteindelijk heeft die keuze te maken met het bedrijfsproces en de risico s die de onderneming loopt. Als voorbeeld: in de petrochemie spelen zowel heel specifieke veiligheidsrisico s (kans op ongevallen, e.d.) als risico s met een meer criminogene achtergrond die impact hebben op de continuïteit van het bedrijfsproces. Zelfs het risico als gevolg van terrorisme is vandaag de dag niet irreëel. Al deze invloeden vragen om voldoende kennis, kunde en vooral focus. In deze sector komt men dan ook vaak functionarissen met gescheiden aandachtsgebieden tegen, binnen het totale landschap van risicomanagement. Maar bij verreweg de meeste organisaties zien wij deze functionaliteiten verenigd in een en dezelfde persoon. 4 welke aspecten krijgen bij risicomanagement aandacht? Grof gesteld gaat het om veiligheids- en beveiligingsrisico s. In praktische zin kunnen risico s zich voordoen binnen bijna alle bedrijfsprocessen, zowel binnen de processen rond personeelsvoorziening (bijvoorbeeld: falsificaties in cv s) als binnen het administratieve proces (bijvoorbeeld: fraude). Maar ook tijdens productie of transport (bijvoorbeeld: ongevallen) doen zich in iedere organisatie en elke dag risico s voor. Het is de kunst om deze op een juiste wijze in beeld te krijgen en op de juiste waarde in te schatten. 20

3 risicomanagement in relatie tot beveiliging en veiligheid 5 wat is een risicoprofiel? Het risicoprofiel van een organisatie is de uitkomst van een risicoanalyse (kanseffectweging). Formeel moeten uit de analyse voortkomende risico s nog beoordeeld worden op aspecten als: waar zijn al redelijkerwijs voorzieningen voor getroffen; welke zijn sterk organisatiegebonden of welke zijn verplicht vanuit wetgeving of verzekeringsvoorwaarden? De uiteindelijke lijst (soms nog in volgorde van belang) geeft het risicolandschap dan wel risicoprofiel van die organisatie aan. 6 waar kun je naast het verzekeren van gekwalificeerde risico s nog meer voor kiezen? In de meeste klassieke risicomanagementmodellen bestaan vier manieren om met de uiteindelijk gekwalificeerde risico s om te gaan. Deze zijn: 1. zelf dragen (en verder niets doen); 2. risico vermijden (beveiligingsorganisatie/verzekeren); 3. verminderen (beveiligingsplan implementeren); en 4. overdragen (dus niet meer doen). Dit model komt uit de Verenigde Staten. De Nederlandse variant kent nog een extra mogelijkheid en wel het negeren van risico s. Kortom, wij realiseren ons dat wij een risico lopen maar vergeten dat weer en houden er verder geen rekening mee. Op alle niveaus zijn daar in de Nederlandse samenleving voorbeelden van te vinden. 21

4 beveiliging in 100 vragen Figuur 1 Risicobeheersmodel Risicobeheersing als doel onveiligheid vaststelling controle vaststellen maatregelen risico-analyse Risico vermijden verminderen doelstellingen overdragen zelf dragen doelsysteem 22

5 Risicoanalyses (begrip en methode) Er is nog geregeld misvatting over het begrip risicoanalyse. Het afwerken van een checklist, bijvoorbeeld de BORG-lijst vanuit de verzekeringen, waarbij een aantal factoren bepaalt welke beveiligingsvoorzieningen er genomen dienen te worden, is pertinent geen risicoanalyse. Bij een risicoanalyse staat primair de formule: Risico = Kans x Effect (= diverse vormen van schade) centraal. Het handelt hier om een kans- en effectweging rond een bepaald risico dat zich op een bepaald moment zou kunnen voordoen. Er zijn nog uitgebreidere formules te hanteren, bijvoorbeeld die waarbij de invloed van de al genomen maatregelen wordt meegewogen. Vraag en antwoord 7 wat is het verschil tussen een risicoanalyse en een risico-inventarisatie met evaluatie? Bij een risicoanalyse vindt er daadwerkelijk een kans-effectberekening plaats vanuit de formule Risico = Kans x Effect. Op die resultaten worden nog enkele effecten losgelaten welke specifiek voor die organisatie zijn, zoals reeds genomen maatregelen, verzekeringseisen en bedrijfscultuur. Uiteindelijk leidt dit alles tot een overzicht van relevante risico s in de juiste van belang zijnde volgorde, dit is het risicoprofiel van de organisatie. Bij een risico-inventarisatie en -evaluatie gaat men minder, tot in het geheel niet, van kans/effect uit, maar beredeneert men dat een risico in ieder geval ergens op een bepaald moment kan plaatsvinden. Dat risico kan zich in die redenering op iedere willekeurige plaats in de organisatie manifesteren. De maatregelen die men dus vanuit een inventarisatie treft zijn algemener van aard. 8 kun je ook specifiek een risicoanalyse verrichten naar frauderisico s? Uiteraard. De afbakening wordt dan gevormd door wat je onder de definitie van fraude verstaat. Bijvoorbeeld: bedrijfsinterne fraude omvat alle opzettelijke en wederrechtelijke strafbare feiten die tegen de werkgever als zodanig worden gepleegd met het doel deze te benadelen ten behoeve van zichzelf of anderen. In de 23

6 beveiliging in 100 vragen praktijk betreft het dan risico s als verduistering, diefstal in dienstbetrekking en oplichting. Je berekent specifiek hoe groot de kans is dat deze risico s zich voordoen en wat het maximale schadelijke effect is. Vervolgens bepaal je de prioriteiten en het daaruit voortvloeiende risicoprofiel. Daarna volgen de keuzes voor de diverse voorzieningen (van verzekeren, tot negeren en het nemen van beveiligingsmaatregelen). 9 hoe kom je tot de keuze van welke soorten risico s je voor een bepaalde organisatie moet gaan analyseren? Daar is geen wetenschappelijk onderbouwde techniek voor. Volgens mensen uit de praktijk is een brainstormsessie over relevante risico s met medewerkers uit diverse disciplines van de organisatie een goed uitgangspunt. Naast de gebruikelijke veiligheidsrisico s is het eigenlijk kijkend door de bril van een crimineel. Vanuit die brainstorm ontstaat een lijst die als startdocument gehanteerd kan worden. In de loop der tijd wordt die lijst aangevuld of vallen minder relevante onderdelen af. 10 wat is de iris methodiek? De Iris Methodiek is een specifieke risicoanalysemethodiek die haar oorsprong kent in de spoorwegongevallenanalyses. Deze methodiek wordt al sinds tientallen jaren in Nederland gedoceerd en het volgen van deze training geldt als een van de alternatieve toelatingseisen voor deelname aan de zogenaamde DHM-opleiding. Drs. Udo Jonker is in Nederland sinds jaar en dag als docent van deze methodiek de specialist. 11 wat is de haagse methodiek (dhm) voor beveiligingsopleiding? Een door de heren Rob Ackx en Bert Duijndam in samenwerking met de Haagse Hogeschool ontwikkelde securitytraining die bij goed gevolg toegang geeft tot het Register voor Security-Expert (RSE). De opleiding bestaat al ruim tien jaar en is al door vele duizenden mensen gevolgd. 12 is er een verband tussen de incidetar-methode en de schillenmethode? Een van de thema s binnen de DHM-opleiding is de Incidetar-methodiek. Hiermee valt na te gaan of de organisatie zich tegen een bepaald incident, vooral inbraak, afdoende heeft beveiligd. Door zeer praktisch te controleren (in tijd) of de vertragende voorzieningen vanaf het moment van detectie en alarmering voldoende 24

7 risicoanalyses (begrip en methode) gelegenheid geven om de verdachte(n) op heterdaad te kunnen betrappen, kunnen eventueel de voorzieningen worden bijgesteld. De schillenmethode, die inhoudt dat er gedacht wordt in schillen rond het te beveiligen object, gaat ook uit van een vroegtijdige detectie en alarmering en daarna het aanbrengen van vertragende maatregelen. Bij deze methode wordt echter niets gemeten. 13 hoe luidt in het kort de theorie behorende bij het preventiewiel -model? Centraal als as staat in dit model (in de vorm van een wiel) het zekeren van de continuïteit van de organisatie = integrale veiligheidszorg. Het wiel wil symbolisch weergeven dat om die as de aspecten die in de spaken vermeld staan, horen te blijven bewegen. Zo dient er permanent aandacht te zijn voor de volgende aspecten: Het beveiligingsbeleid ingegeven door het risicoprofiel van de organisatie, dient bekend te zijn in de organisatie. Vervolgens dient er een beveiligingsstructuur voor veiligheids- en beveiligingszaken benoemd te worden met een verantwoordelijke binnen de organisatie. Bij datzelfde onderdeel dient er ook aandacht te zijn voor processen en instructies. De een na laatste stap is het benoemen van beveiligingsvoorzieningen in termen van bouwkundige en elektronische maatregelen. De finishing touch wordt gevormd door het aspect cultuur. Hierbij spelen twee onderwerpen een belangrijke rol, te weten de preventieve houding en deskundigheidsbevordering. Uiteindelijk dienen alle onderdelen continu aandacht te krijgen en dient er gekeken te worden of het beleid nog aansluit bij het actuele risicoprofiel van de organisatie. Immers niet alleen organisaties zijn in beweging, datzelfde geldt ook voor de maatschappij waarin zij zich bevinden. 25

8 beveiliging in 100 vragen Figuur 2 Preventiewiel Beleid Beveiligingsbeleid Cultuur Preventieve houding Deskundigheidsbevordering Integrale Veiligheidszorg Beveiligingsstructuur Beveiligingsprocessen Organisatie Bouwkundig Elektronisch Overige hulpmiddelen Voorzieningen 14 wat is de borg-checklist? Dit betreft een controlelijst van verzekeringsmaatschappijen vooral gericht op inbraakgevoeligheid van organisaties. Door bedrijven in te delen naar omgevingsfactoren en waardevolle goederen binnen de organisatie, adviseert de verzekering over de te nemen voorzieningen. Daarbij komen aspecten langs als elektronische voorzieningen, bouwkundige en organisatorische aspecten en compartimentering. De te treffen voorzieningen zijn altijd voor discussie vatbaar. 26