Methodiek voor risicomanagement

“Het grootste risico is het risico dat je niet regisseert.”

Er zijn heel veel methoden op de markt, die gericht zijn op het inzichtelijk maken van risico’s die organisaties lopen. Veel organisaties hebben echter geen vaste methode om de risico’s die ze op het gebied van beveiliging lopen goed inzichtelijk te maken en te houden. Onder ‘goed’ verstaan we dan in dit geval: dusdanig, dat de risico’s ook echt worden begrepen door zoveel mogelijk medewerkers.

Als de organisatie al wel zo’n methodiek heeft, dan zie je vaak dat deze erg ingewikkeld is gemaakt. Het is een heel professioneel opgesteld systeem met veel afwegingen en veel kleurgebruik. Voor sommigen moet je haast wel academisch geschoold zijn om de methode te kunnen hanteren. Het gevolg hiervan is dat slechts een enkele, daartoe gespecialiseerde functionaris de methode kan gebruiken of dat er specialisten nodig zijn en dan ingehuurd moeten worden om de periodieke risicoanalyses uit te voeren.

Organisaties worden daarmee afhankelijk van deze specialisten. Je kunt het proces van risicomanagement wel uitbesteden maar je zult toch zelf een keuze moeten maken in wat je met de onderkende risico’s wilt (accepteren, mitigeren).

Afhankelijkheid voelt al niet goed, maar erger is nog dat door de complexiteit van de gekozen methode de aandacht wordt afgeleid van de inhoud waar het om gaat: kennis van de organisatie met diens specifieke eigenschappen en risico’s en daarmee het kunnen voeren van een gedegen, doordacht en gedragen risicomanagement.

De klantvraag

Ontwikkel een praktische risicomanagement methodiek, die door een grote groep mensen binnen onze organisatie zelf kan worden uitgevoerd om zo de risico’s beter en begrijpelijker inzichtelijk te maken om dan vervolgens de juiste beslissingen te kunnen nemen om deze risico’s goed te managen.

De aanpak

Vanuit de verschillende risicomanagement methodieken hebben we een selectie gemaakt van vrij simpele tot zeer complexe methodieken en op basis daarvan een voorstel gedaan die het best aansloot bij de organisatie van de opdrachtgever.

Organisaties moeten accepteren dat risicomanagement veelal geen exacte wetenschap is omdat de statistieken op het gebied van beveiliging nu eenmaal vaak onvolledig zijn en risico’s nu eenmaal tot onzekerheden leiden. Er moet een keuze gemaakt worden tussen methodieken die te eenvoudig zijn en te weinig zekerheid bieden en methodieken die wellicht iets meer zekerheid bieden maar voor de meeste medewerkers onbegrijpelijk zijn.

De voorgestelde methodiek is maatwerk en is verder uitgewerkt in duidelijke instructies zodat het voor iedere medewerker begrijpelijk is wat er van hem of haar verwacht wordt. Op basis van de risico inschatting door de medewerker zelf kan hij of zij zelf ook veel beter bepalen welke beveiligingsmaatregelen nodig en welke maatregelen overbodig zijn.

Tot slot hebben wij de organisatie verder op weg geholpen door de eerste risicoanalyses op het gebied van beveiliging te faciliteren. Hiermee kregen zij snel inzicht in de risico’s die ze lopen en waar nog aanvullende maatregelen nodig waren. Vervolgens is de methodiek overgedragen aan de organisatie en belangrijker nog: geborgd in de organisatie zodat de medewerkers er zelf gebruik van kunnen blijven maken.

Het resultaat

Het resultaat is dat voor deze organisatie een risicomanagement methodiek is ingevoerd, die in opzet eenvoudig is om in te vullen. Er wordt een goed inzicht gegeven in de risico’s die de organisatie loopt. Maar het belangrijkste is dat veel meer medewerkers dan voorheen zich nu meer betrokken voelen bij het risicomanagement van de organisatie. Er is een omslag gemaakt van rule based denken (het implementeren van maatregelen) in veel meer risk based denken (het implementeren van maatregelen als die een onacceptabel risico afdekken).

De methodiek en de risico’s worden niet meer gezien als het feestje van een ander, maar als een onderwerp waar men zelf nauw bij betrokken is. Iedere medewerker neemt zijn of haar verantwoordelijkheid voor de continuïteit van de organisatie en daarmee ook voor de risico’s van hun eigen werk.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Met een compleet pakket aan diensten helpen wij organisaties in control te komen en te blijven op het gebied van beveiliging. Van het onderzoeken van welke methodieken het best passen bij het risicomanagement van de organisatie tot en met het implementeren hiervan.

Hierbij is onze focus gericht op de acceptatie van de methodiek door de medewerkers binnen de organisatie, zodat zij zelfsturend worden in het managen hiervan.

Beveiliging: De goede dingen doen

“Het voordeel van een slecht geheugen is dat men van dezelfde goede dingen meer dan eens kan genieten.” (Friedrich Nietzsche)

Een grote landelijke financiële dienstverlener is bezig met een pilot voor het versterken van de buitenschil. Een overgroot deel van de met operationele uitvoering van fysieke beveiliging belaste functionarissen hebben immers de overtuiging dat een hogere weerbaarheid van de buitenschil van een pand zal leiden tot een verlaging van het aantal beveiligingsincidenten.

Vrijwel gelijktijdig is onder aansturing van de afdeling Veiligheidszaken een projectteam geformeerd, die richt zich op het verhogen van de preventieve beveiliging. Vroegtijdig detecteren in combinatie met een snellere opvolging moet leiden tot het verhogen van de pakkans en daarmee verlaging van het aantal incidenten.

Waar de beleidsmaker zich dus richt op eerst signaleren en vervolgens vertragen, wordt op operationeel niveau gewerkt aan het nog meer vertragen, waarna vervolgens wordt gesignaleerd. Beide met hetzelfde doel: verlaging van het aantal incidenten, maar met een andere visie.

De klantvraag

“Doen we de goede dingen?”

De aanpak

De Security Manager stelt zich de vraag wat nu het juiste is. Hij wordt hiertoe in staat gesteld omdat hij vanuit zijn rol (sinds kort) betrokken wordt bij de drie aandachtsgebieden van fysieke beveiliging: de hoofdkantoren, de bankkantoren en de geldautomaatlocaties.

Waar Veiligheidszaken als beleidsmaker voor de geldautomaatlocaties de focus heeft op detectie voor vertragen, is binnen de facilitaire afdeling juist op het gebied van de bankkantoren de focus andersom: meer vertraging en vervolgens detecteren.

Een aantal zaken komen uit een quickscan naar voren:

  • De visie op beveiliging is in het beleid grotendeels ten onder gegaan aan de beschrijving van de organisatie, taken en verantwoordelijkheden en de te nemen beveiligingsmaatregelen;
  • Voor de drie aandachtsgebieden zijn de taken en verantwoordelijkheden bij verschillende afdelingen belegd, zowel voor waar het de uitvoering als het toezicht op de uitvoering betreft;
  • Door verschillende reorganisaties is veel kennis vertrokken en ontbreekt er kwalitatieve en kwantitatieve capaciteit bij hen die nu moeten waarnemen;
  • Er is geen integrale afstemming tussen de stakeholders.

Er wordt een overleg gestart, waarin de beleidsmakers, de uitvoerders en de toezichthouders elkaar treffen.

Het resultaat

In een goed voorbereide hei-sessie wordt een eenduidige visie op fysieke beveiliging geformuleerd. Deze visie is het uitgangspunt voor de drie aandachtsgebieden. Preventie door vroegtijdige detectie met snelle opvolging ter verhoging van de pakkans is het uitgangspunt zolang ontwaarding van de locaties nog niet 100% mogelijk is.

Vanuit de facilitaire afdeling worden de programma’s van eisen aangepast. De maatregelen sluiten daarmee weer aan op de werkelijke risico’s van dit moment.

Hiermee wordt tevens voorkomen dat de weerbaarheid van de buitenschil van de bankkantoren wordt opgehoogd naar een niveau ver boven het bouwbesluit. De investeringen worden nu gedaan op het gebied van detectie, die een dusdanige precisie hebben, dat meldingen van daaruit voor de meldkamers van de Particuliere Alarmcentrale en de politie toereikend zijn om te worden betiteld als geverifieerde melding, waarop direct wordt uitgereden.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Wij staan voor een integrale aanpak van beveiliging waarbij alle stakeholders betrokken worden. Belangrijk hierbij is een centraal gedeelde visie op beveiliging, die continu getoetst en herijkt moet worden. Doe jij binnen jouw organisatie de goede dingen? Wij helpen je graag om een antwoord op die vraag te krijgen zodat je de ten aanzien van beveiliging gestelde doelen kunt bereiken.