Risico Acceptatie Proces

“De tool heiligt de middelen.”

Eind 2013 wordt de afdeling Facility Management van een organisatie verantwoordelijk gesteld voor de uitvoering van het nieuw vastgestelde beleid op het gebied van fysieke beveiliging. Het beleid wordt door de beleidsmaker aangeleverd. Het is de verantwoordelijkheid van Facility Management om het programma van eisen op te stellen en te implementeren.

Wat zou moeten, is dat het beleid aangeeft welk risico wordt gelopen en waarom dit risico moet worden gemitigeerd. Hoe de mitigatie vormgegeven kan worden, moet dan zijn beslag krijgen in het programma van eisen. Wat we vaker zien, is dat de begrippen ‘Waarom, Wat en Hoe’ door elkaar worden gebruikt en soms met elkaar worden verward. Dat is hier ook het geval.

In het beleid wordt bijvoorbeeld gesteld dat een conferentiecentrum binnen de beveiligde schil moet liggen, omdat er anders een risico is dat informatie ongewenst openbaar kan worden gemaakt (filmen, afluisteren). Maar een groter risico van een conferentiecentrum binnen de beveiligde schil is, dat het dan voor personen van buitenaf relatief eenvoudig is om zaken te zien die ze niet zouden moeten kunnen zien omdat ze zich binnen de beveiligde schil begeven. Het is maar net welk risico je groter vindt.

Het risico om informatie niet ongewenst in de openbaarheid te brengen kun je op meerdere manieren het hoofd bieden. Het ‘Wat’ is hier verward met het ‘Hoe’. Er wordt daarmee een oplossing voorschreven, die niet alleen zeer kostbaar is, maar die ook andere risico’s met zich meebrengt. Dat is vaak het geval. Iedere maatregel die je neemt, brengt in potentie weer nieuwe risico’s met zich mee.

De klantvraag

Zorg voor een geformaliseerd proces, dat de organisatie toestaat op grond van een goede argumentatie en afstemming met alle belanghebbenden af te kunnen wijken van het gestelde in het beleid.

De aanpak

Binnen de organisatie is reeds een generiek Risico Acceptatie Proces aanwezig, waarbij met het onderwerp beveiliging zonder problemen kan worden aangesloten. Onder opgave van het risico en de motivatie voor het accepteren van het risico, kan het proces worden gestart. Alle relevante stakeholders worden benoemd en gevraagd om zich inhoudelijk uit te spreken over het risico en de motivatie voor de acceptatie.

Specifiek voor fysieke beveiliging wordt een Risico Acceptatie vooraf besproken in een tactisch overleg, waarbij de voor beveiliging meest relevante belanghebbenden aanwezig zijn. Hier wordt meer inhoudelijk op de materie ingegaan en wordt inzicht gegeven in de gemaakte afweging. Het voordeel is dat een risico niet door een individu geaccepteerd wordt, maar door alle belanghebbenden wordt afgewogen en vervolgens goed wordt gedocumenteerd.

Risico’s gekwalificeerd als ‘hoog’ worden aan het strategisch overleg ter beoordeling voorgelegd en de eigenaar van het risico neemt het risico mee voor bespreking in het managementteam en registratie in de beheerstool. Beveiligingsrisico’s worden zo onderdeel van het standaard Risico Acceptatie Proces binnen de organisatie.

Het resultaat

Veelal worden de onderdelen van een beveiligingsraamwerk in eerste instantie vrij generiek beschreven. Juist door goede discussies over het nut en noodzaak van gevraagde maatregelen bij een risico krijg je binnen een organisatie begrip voor elkaars standpunten en ook het besef dat wat voor de ene situatie passend is, dat voor een andere situatie niet hoeft te zijn.

Juist deze discussies over de werkelijke risico’s die je loopt en welke maatregel het best zou passen, rechtvaardigen de te maken kosten voor het mitigeren of accepteren van het risico het best. Niet door beveiliging als iets bijzonders te zien, maar juist door gebruik te maken van reeds bestaande processen.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Doen we de goede dingen en doen we de dingen goed? Deze kernvraag hanteren wij voortdurend en bij alles wat we doen. Daarom ook adviseerden wij de opdrachtgever te kiezen voor een risk based benadering: eerst kijken naar de risico’s en dan passende maatregelen treffen.

Het zou de weg van de minste weerstand zijn geweest om als uitvoerende organisatie gewoon te doen wat werd gevraagd, nl. de opgesomde maatregelen te treffen. Dan zou rule based gehandeld zijn en zou juist de kern van risicomanagement, het managen en regisseren van risico’s, ten onder zijn gegaan aan verstand op nul uitvoeren.

Het nemen van de juiste maatregelen bij de juiste risico’s zorgt er uiteraard voor dat je geen overbodige kosten maakt. Daarbij is het met elkaar in gesprek zijn over de risico’s en de maatregelen feitelijk het belangrijkst. Daarmee houd je het beleid, het begrip en de aandacht voor beveiliging levend.