Het security -beleid in de chemische procesindustrie: een kwalitatieve studie. Genserik Reniers, Thomas Verswyver, Marc Cools and Wout Dullaert

Transcriptie

1 Het security -beleid in de chemische procesindustrie: een kwalitatieve studie Genserik Reniers, Thomas Verswyver, Marc Cools and Wout Dullaert HUB RESEARCH PAPER 2008/34. SEPTEMBER 2008

2 Het security -beleid in de chemische procesindustrie: een kwalitatieve studie Het ruimere security -beleid in ondernemingen werd en wordt vaak vanuit een wetenschappelijk theoretisch referentiekader benaderd. Kwantitatief en/of kwalitatief onderzoek is en blijft eerder zeldzaam. Ondernemingen beschouwen hun security -beleid nog steeds als een interne aangelegenheid waarover minimaal wordt gecommuniceerd met derden, laat staan met wetenschappers. Het is in deze context dat het opportuun leek om ons kwalitatief onderzoek, weliswaar beperkt tot een aantal ondernemingen in de chemische procesindustrie, breder te duiden en weer te geven. Inleidende conceptualisering en contextualisering Onze operationele definitie van het security -concept voor een chemische onderneming kan worden omschreven als: het nemen van alle preventieve maatregelen ter voorkoming van schadelijke incidenten, veroorzaakt door onbevoegde (interne of externe) personen die de intentie hebben om de onderneming te schaden, alsmede de controle op dergelijke incidenten en op hun schadelijke gevolgen. Een zogenaamd security -systeem binnen een chemische plant heeft een aantal vitale functies waarbinnen de algemene doelstellingen van de security vervat liggen. Ten eerste staat het security -systeem van een chemische onderneming in voor de bescherming, bewaking en beveiliging van materiële en immateriële activa, of in meer concrete termen de bescherming, bewaking en beveiliging van het geheel van human resources al dan niet in eigen beheer, informatie of ICTstructuren en eigendommen. Ten tweede garandeert een security -systeem de business continuity van de onderneming. Dit systeem zorgt er met andere woorden voor dat het geheel van processen en procedures die door een organisatie worden ingezet tijdens of na een incident de continuïteit van haar essentiële functies verzekert. Het is uiteraard ook belangrijk om te weten op welke manier zo een systeem werkt en hoe een scheikundige onderneming dit aanpakt. Dergelijke inhoud voor een security -systeem wordt door de Noord- Amerikaanse Security Code of Management Practices (American Chemistry Council, 2001) beschreven in verschillende managementpraktijken. Deze managementpraktijken kunnen structureel ondergebracht worden in primo de ontwikkeling en het behoud van een specifieke security -cultuur en secundo in de ontwikkeling en implementatie van security -maatregelen en technieken. In eerste instantie is het van vitaal belang dat een chemische onderneming over een specifieke security -cultuur als deel van de algemene bedrijfscultuur beschikt. Hiermee wordt bedoeld dat alle werknemers en derden actief in de onderneming inzake security dezelfde waarden, normen, gedragingen en doelstellingen delen. Hiervoor dient de chemische onderneming in het bezit te zijn van sterk leiderschap en een hoge managementbetrokkenheid inzake security. Voorts dienen voldoende (financiële) middelen te worden vrijgemaakt voor security -maatregelen en technieken en staat het veranderingsmanagement of change management doorheen de gehele chemische onderneming centraal. De ontwikkeling van de verschillende security -maatregelen en technieken gebeurt door een grondige 1

3 security -analyse, waarna wordt overgegaan tot de eigenlijke implementatie van organisatorische, bouwkundige en elektronische maatregelen en technieken (bijvoorbeeld: toegangscontrolesystemen, geluidscontrolesystemen, elektronische badgecontrolesystemen en biometrische controlesystemen). Algemeen bestaat deze analyse in een scheikundige plant uit acht verschillende stappen (zie figuur 1). Figuur 1: Acht stappen in een security -analyse 1. Inventarisatie van waarden 2. Identificatie van potentiële bedreigingen 3. Risico-identificatie en risico-evaluatie 4. Inventarisatie van de huidige beschermings-, bewakings- en beveiligingsmiddelen 5. Evaluatie van de huidige middelen ten opzichte van de risico s 6. Oplossingsmogelijkheden om bedreigingen te beletten of hun effect te minimaliseren 7. Voorstel van oplossingen 8. Kostenraming Het geheel van hieruit voortvloeiende security -maatregelen en technieken bestaat uit, zoals reeds eerder aangegeven, organisatorische, bouwkundige en elektronische maatregelen. Uit praktische overweging kunnen de verschillende locaties waar deze maatregelen voorkomen in een chemische plant opgedeeld worden in drie capita: de perimeter, het terrein en de verschillende gebouwen en lokalen. Aan de hand van een model (zie figuur 2) wordt onmiddellijk duidelijk welke maatregel en techniek bij welke locatie hoort. Figuur 2: Praktisch model van security -maatregelen en technieken Organisatorisch Bouwkundig Elektronisch Perimeter Terrein Gebouwen en lokalen Bewakings- en beveiligingspersoneel onthaal omheining ingang - en uitgangpunten buitenverlichting elektronische toegangscontrolesystemen signalisatie camera's detectiesystemen ingang - en uitgangspunten ramen elektronische toegangscontrolesystemen controlekamer Qua organisatorische security -maatregelen en technieken staan er doorgaans zeven model voor de garantie van een degelijk security -systeem. Een algemeen security -beleid; een organisatie, planning en documentatie; een communicatie en samenwerking; een training, opleiding en begeleiding; het crisismanagement en (proactief bij incidenten) onderzoek; de interne en externe audits en een verificatie door derden. 2

4 Methodologie Ons kwalitatief onderzoek gaat de concrete toestand na op het vlak van de security in de Belgische chemische procesindustrie zes jaar na 11 september In dit post-9/11 kader werd er gepeild naar de mate van implementatie van bovengenoemde security -maatregelen en technieken en er werd ook onderzoek gedaan naar de mate van wijziging van maatregelen en technieken naar aanleiding van de veranderende regelgeving inzake de zogenaamde en courante supply chain security. De descriptieve studie werd methodologisch uitgevoerd aan de hand van diepte-interviews met de security - managers van multinationale chemische ondernemingen in België. Elk interview steunde op een uitgebreide vragenlijst. De vragen over de maatregelen en technieken steunden op het model zoals uitgebeeld in figuur 2. Ook werd bij aanvang van elk interview het bestaan van een specifieke security -cultuur bevraagd. Er werden in totaal 4 chemische ondernemingen onderzocht. Het spreekt wetenschapstechnisch en etisch voor zich dat we de ondernemingen hebben genummerd opdat hun naam vertrouwelijk zou blijven. Ondernemingen 1 en 2 zijn ondernemingen in de Antwerpse haven mét kade, ondernemingen 3 en 4 hebben geen kade. Tabel 1 geeft voor elke onderneming de belangrijkste algemene kenmerken. Tabel 1: Schematische voorstelling van algemene kenmerken van de ondernemingen Onderneming 1 Onderneming 2 Onderneming 3 Onderneming 4 Nationaliteit Duits Duits Arabisch/Oostenrijks Belgisch concern Ligging in België Haven van Haven van Haven van Sector petrochemie petrochemie petrochemie raffinage en recyclage Type Oppervlakte 109ha 130ha 110ha 116ha Aantal eigen werknemers Onderzoek Onze vier onderzoekshypothesen volgden uit een uitgebreid literatuuronderzoek. Het is evident dat in het raam van onze korte bijdrage we niet kunnen ingaan op de presentatie ervan. Zij worden getoetst aan de realiteit via de diepte-interviews. De hypothesen worden opgesomd in tabel 2. 3

5 Tabel 2: Hypothesen i.v.m. beveiliging in de chemische procesindustrie Hypothese 1. Hypothese 2. Hypothese 3. Hypothese 4. In de organisatie van een chemische onderneming wordt gewerkt volgens het principe van de security -centralisatie. Interne en externe communicatie en samenwerking inzake security zijn sterk aanwezig en zorgen voor een security -optimalisatie. Security wordt vanuit een cultureel oogpunt benaderd. Security is een zinvolle, proactieve investering. Hypothese 1 gaat voornamelijk na of in elke chemische onderneming wel degelijk een aparte security -afdeling bestaat met aan het hoofd een hiervoor opgeleide security -manager, tezamen met een apart security -plan. Met hypothese 2 wordt nagegaan of elke chemische onderneming in het bezit is van een diepgaande interne communicatie en samenwerking, alsook actief participeert in een externe communicatie en samenwerking. In hypothese 3 wordt geverifieerd of een chemische onderneming en al haar eigen medewerkers de security - maatregelen en technieken op een bedrijfsculturele wijze implementeert met het oog op het vermijden van de meeste bedreigingen. Hypothese 4 evalueert of de security beschouwd wordt als een louter reactieve kost, dan wel als een zinvolle, proactieve investering. Ondanks het beperkte aantal chemische ondernemingen dat participeerde in deze exploratieve studie, zijn de auteurs er via hun literatuurstudie en op basis van deze diepte-interviews ervan overtuigd dat grotendeels dezelfde bevindingen kunnen worden vastgesteld in de meeste bedrijven uit de chemische industriële sector. Onderzoeksresultaten Elke chemische onderneming was in het bezit van een gedocumenteerde structuur- en procedure-uitwerking qua security, lees een security -plan, maar niet altijd op een gecentraliseerde manier. Dit wil zeggen dat niet alle ondernemingen daadwerkelijk in het bezit waren van een aparte security -afdeling met aan het hoofd een security -manager en een hiervoor apart formeel opgemaakt security -plan. Enkel de ondernemingen 2 en 4 bezaten een aparte security -afdeling. Voor de onderneming 2 viel deze onder de grotere afdeling safety, daar waar voor de onderneming 4 de security -afdeling onder de grotere afdeling algemene diensten viel en gelijkwaardig werd gesteld aan de safety-afdeling. Aan het hoofd van elke security -afdeling stond ook telkens een security -manager. De gehele structuur, samen met alle security -procedures, werden voor deze twee ondernemingen opgenomen in een apart security -plan. Bij de ondernemingen 1 en 3 viel de security onder de verantwoordelijkheid van de KWM -manager - kwaliteit, welzijn en milieu - en was er een gedeelde verantwoordelijkheid van de KWM voor safety en security. Deze ondernemingen waren bijgevolg niet in het bezit van een aparte security -afdeling en dus ook geen aparte security -manager. Er dient wel vermeld te worden dat de onderneming 1 werkt naar een aparte security -afdeling waarbij een algemeen security -beleid door middel van een zogenaamde strategy map en balanced scorecard wordt uitgebouwd. Naar aanleiding van 9/11 aanslagen werd in geen van de chemische ondernemingen de security -structuur of documentatie ervan gewijzigd. Inzake de security -procedures werden er wel aanpassingen doorgevoerd in functie van veranderende regelgeving, alsook werden er procedures specifiek inzake terrorisme toegevoegd. In de huidige situatie strookt de eerste hypothese dus (nog) niet volledig met de realiteit, maar er wordt aan gewerkt. 4

6 De interne communicatie en samenwerking uit zich in elke chemische onderneming op drie manieren: topdown, horizontaal en bottom-up. Externe communicatie en samenwerking vindt plaats lokaal, nationaal en internationaal. Algemeen kan worden gesteld dat zowel de interne als de externe communicatie en de samenwerking verbeterd werden na 9/11. Voornamelijk de externe communicatie en de samenwerking is onderhevig aan veranderingen om efficiëntie en effectiviteit te optimaliseren. Hypothese twee is dus geldig voor elke participerende chemische onderneming. Om de effectiviteit van een cultureel security -beleid in een onderneming na te gaan, werd geverifieerd of alle medewerkers op de hoogte zijn van het belang van de security en van alle pro-actieve security -maatregelen en -technieken die van kracht zijn in het bedrijf. Dit blijkt niet het geval te zijn. Uit de diepte-interviews bleek dat geen sterk leiderschap en hoge managementbetrokkenheid inzake security bestaan. Deze lacune vormt de belangrijkste drijfveer voor het ontbreken van de specifieke security -cultuur. De diepte-interviews gaven aan dat een mogelijke verklaring voor het ontbreken van sterk leiderschap en hoge management-betrokkenheid is dat managementbetrokkenheid stelselmatig evolueert in functie van de groeiende ernst van het onderwerp. De security is naar aanleiding van 9/11 zeker onder de aandacht gekomen, waardoor de ernst ervan is beginnen groeien. Het is echter zo dat deze ernstgroei nog maar zeer recent is, waardoor de evolutie van leiderschap en managementbetrokkenheid nog zeer beperkt is. De security heeft dus een korte geschiedenis en daarom ook zwak leiderschap en lage managementbetrokkenheid. Belangrijk in dit verband is dat alle geïnterviewde chemische ondernemingen deze problematiek van het niet vervullen van hypothese drie inzagen, maar dat drie van de vier ondernemingen geen grote wijzigingen op dat vlak voorspelden voor de (nabije) toekomst. Enkel de onderneming 1 met haar toekomstig wijzigend security -beleid, -structuur en -documentatie zal in de nabije toekomst (einde 2008) ook kunnen spreken van een specifieke security -cultuur. Een tweede mogelijke oorzaak voor het ontbreken van een cultureel bepaald security -beleid is de kostprijs ervan. Het hogere management beschouwt security nog altijd als een zuivere kost. Security -maatregelen en technieken dragen niet rechtstreeks bij tot het voortbestaan en de groei van een onderneming, waardoor hun economisch nut minder zichtbaar is voor het management en hun kostprijs ook eerder opgevat wordt als een economische last voor de onderneming. Uit de antwoorden van het uitgevoerde onderzoek bleek duidelijk dat het management van de vier geïnterviewde ondernemingen de security nog altijd als een zuivere kost zagen. Ook kwam tot uiting dat een securty -investering vrijwel altijd reactief van aard wordt gepercipieerd of met andere woorden slechts wordt doorgevoerd naar aanleiding van een welbepaalde gebeurtenis of regelgeving. De vierde hypothese kan op basis van deze kwalitatieve studieresultaten dus worden verworpen. Besluit Met deze bijdrage hebben we getracht een beeld te schetsen van de belangrijkste security -aspecten in de chemische industrie in het prille post 9/11 tijdperk. Uit deze studie wordt vooral onthouden dat niet alle chemische ondernemingen tegenwoordig werken volgens een security -centralisatie, dat in alle chemische ondernemingen wel een sterke aanwezigheid is van communicatie en samenwerking, dat voorts momenteel in geen van de chemische ondernemingen security volgens een culturele visie benaderd wordt en tenslotte dat de security niet of zelden als een zinvolle, proactieve investering beschouwd wordt door het management. Het is 5

7 onder andere door meer en steeds verder uitgewerkt wetenschappelijk onderzoek terzake dat er ook vanuit de academische wereld een bijdrage kan worden geleverd die het belang van security (ook financieel) aantoont en die een concrete verbetering kan betekenen voor de aanpak van security in het bedrijfsleven. Genserik Reniers (UA/HUB), Thomas Verswyver (UA), Marc Cools (Ugent/VUB) en Wout Dullaert (UA) Bibliografie American Chemistry Council (2001), Responsible Care Security Code of Management Practices American Chemistry Council (2001), Site Security Guidelines for the US Chemical Industry 6