Beleidsuitvoering: risk based versus rule based

Risk based versus rule based: “Risico komt door niet te weten wat je doet.” (Warren Buffet)

Hoe wij voor een grote zakelijke dienstverlener 13,8 miljoen euro bespaarde op beveiliging zonder dat zij meer risico’s zijn gaan lopen

Eind 2013 wordt de afdeling Facility Management van een zakelijke dienstverlener verantwoordelijk gesteld voor de uitvoering van nieuw vastgesteld beleid op het gebied van fysieke beveiliging. Bijna 25 grote kantoorgebouwen worden door een externe partij geschouwd, waarbij de afwijkingen tussen beleid en werkelijkheid in een rapport worden vastgelegd. Uiteindelijk worden door die partij bijna 3.400 afwijkingen benoemd.

Een eerste raming van de investering benodigd voor het oplossen van alle afwijkingen komt uit op 9 miljoen euro. Na de eerste offertes en rekening houdend met de impact van de aanpassingen in een bestaande, bebouwde omgeving wordt de investeringsraming bijgesteld naar 18 miljoen euro. Op basis van de afwijkingen en de investeringen, werden wij gevraagd de dienstverlener te ondersteunen bij het wegwerken daarvan.

De klantvraag

Zorg dat we binnen twee jaar zoveel, liefst alle, geconstateerde afwijkingen hebben opgelost. Er mogen dan geen high risk findings meer open staan. Het afgegeven budget is hierbij taakstellend.

De aanpak

Het betreft een omvangrijk en complex project. Na diverse reorganisaties en fusies blijkt er weinig historie voor handen en moet van scratch af aan alles opnieuw worden opgezet en ontwikkeld. Alle tot het security framework behorende documenten worden gedurende het eerste jaar ontwikkeld. Dit geeft inzicht in wat allemaal moet worden aangepakt. Maar ook maakt het duidelijk dat bij het opstellen van het beleid destijds is uitgegaan van een bepaalde zwaarte van beveiligen, die niet past bij al de 25 kantoorpanden.

Hoewel er sprake is van een classificatie van panden naar Standard, Secure en High Secure, is er maar één fysiek beveiligingshandboek van toepassing verklaard en ook maar één programma van eisen waarin de maatregelen vastliggen.

In het tactisch en strategisch overleg steken de Security Manager en RisicoRegisseurs als diens adviseur in op een risk based benadering. Met het simpelweg voldoen aan alle gestelde eisen zal de investeringsraming ruimschoots worden overschreden. Dan worden maatregelen getroffen omdat ze in het beleid zijn genoemd, terwijl het risico dat deze maatregelen moeten afvangen niet op meerdere locaties aanwezig is. Zo is op 14 locaties geen beveiliging gestationeerd, waar het beleid dit wel vraagt.

In overleg met de beleidsmakers en de partijen die het beleid controleren, maar ook met het lijnmanagement op locatie, wordt het proces van risico-acceptatie opgestart. Maatregelen hoeven niet 1 op 1 conform het beleid te worden uitgevoerd, als het risico niet of slechts deels aanwezig is.

Het resultaat

Ten aanzien van bouwkundige en elektronische maatregelen ten aanzien van de fysieke beveiliging zijn er veel afwijkingen geconstateerd. De meeste afwijkingen kunnen ook worden opgelost door het ontwerpen van organisatorische maatregelen, vastgelegd in procedures.

Zo zijn ruim 2.700 afwijkingen tot een goede oplossing gebracht. Bijna 400 afwijkingen zijn in gezamenlijk overleg geaccepteerd. Deze acceptaties zijn per pand op schrift vastgelegd zodat ze controleerbaar zijn. Bij een eerste aanpassing van het fysieke beveiligingshandboek moeten deze een plaats krijgen. En ja, voor hen die hebben meegeteld, de andere bijna 300 afwijkingen hebben zich opgelost toen de opdrachtgever besloot om twee kantoren te gaan sluiten.

In de panden geclassificeerd als High Secure waren in totaal negen high findings benoemd. Ook hiervan zijn de meesten opgelost door het treffen van organisatorische maatregelen, zoals het niet-alleen mogen werken op de zalen in het datacentrum.

In totaal is 4,2 miljoen euro geïnvesteerd in plaats van de 9 miljoen op basis van de grove eerste ramingen of 18 miljoen op basis van de daadwerkelijke offertes. Een besparing van 4,8 respectievelijk 13,8 miljoen, afhankelijk van hoe je ernaar kijkt. Geen slecht resultaat, al zeggen we het zelf.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Doen we de goede dingen en doen we de dingen goed? Deze kernvraag hanteren wij voortdurend en bij alles wat we doen. Daarom ook adviseerden wij de opdrachtgever te kiezen voor een risk based benadering: eerst kijken naar de risico’s en dan passende maatregelen treffen.

Het zou de weg van de minste weerstand zijn geweest om als uitvoerende organisatie gewoon te doen wat werd gevraagd, nl. de opgesomde maatregelen te treffen. Dan zou rule based gehandeld zijn en zou juist de kern van risicomanagement, het managen en regisseren van risico’s, ten onder zijn gegaan aan verstand op nul uitvoeren.

Het nemen van de juiste maatregelen bij de juiste risico’s zorgt er uiteraard voor dat je geen overbodige kosten maakt. Daarbij is het met elkaar in gesprek zijn over de risico’s en de maatregelen feitelijk het belangrijkst. Daarmee houd je het beleid, het begrip en de aandacht voor beveiliging levend.