All-in tarief alarmopvolging

“Als je vaak te laat komt, moet je de volgende keer gewoon wat vroeger vertrekken.” (Johan Cruyff)

Een grote landelijke organisatie beschikt over bijna 1.000 locaties in Nederland. Al deze locaties zijn voorzien van een inbraakalarminstallatie. Alarmen worden ontvangen door een Particuliere Alarm Centrale (PAC). De operator van de PAC volgt het bij het alarm behorende protocol. Dit komt er vaak op neer, dat een zogenoemd mobiele surveillant, moet worden aangestuurd. De mobiele surveillant gaat ter plaatse en controleert op locatie de situatie.

Als opdrachtgever investeer je behoorlijk wat in het beschermen van je eigendommen. Natuurlijk wil je als opdrachtgever dat als de dure inbraakalarminstallatie is afgegaan, de mobiele surveillant snel ter plaatse is. Dat levert het meeste op, als de surveillant sneller is dan dat de daders aan tijd nodig hebben om na het afgaan van het ‘stille’ alarm bij de door hun gewenste buit te komen en zich uit de voeten te maken.

In de praktijk zie je dat er maar weinig criminelen door de mobiele surveillancediensten worden aangehouden. Veelal is de aanrijtijd te lang. Dit moet sneller, ben je dan geneigd te zeggen.

De klantvraag

Bij de hernieuwde aanbesteding van de beveiligingsdienstverlening stelt de opdrachtgever de eis dat een mobiele surveillant binnen X-tijd ter plaatse moet zijn. Lukt dit niet, dan kan de leverancier een flinke malus tegemoetzien.

De aanpak

Voor de aanbesteding geldt ook al dat de mobiele surveillance binnen X-tijd ter plaatse moet zijn. Dan krijgt hij per uitgereden alarm de afgesproken vergoeding. Lukt het niet binnen de afgesproken tijd, dan wordt ‘slechts’ 50% van de vergoeding betaald. Bij de hernieuwde aanbesteding wil de Security Manager dit totaal anders. Want hoe gebruikelijk de ‘oude’ constructie in de markt ook zijn mag, het is voor de opdrachtgever absurd om te betalen voor iets, waar hij in feite niets tot weinig aan heeft.

De aanbesteding wordt geënt op een vast bedrag voor alarmopvolging per maand per locatie. Dit ongeacht het aantal keren dat de mobiele surveillant naar de locatie moet uitrijden. Idee hierachter is dat bij veel onnodig uitrijden naar eenzelfde locatie, de mobiele surveillant zijn vakkennis zal aanwenden om maatregelen te nemen ter voorkoming van onnodig uitrijden. Bijvoorbeeld door het kantoorpersoneel te instrueren over hoe te schakelen. Of te wijzen op materiaal dat de werking van de detectie verstoort. Bedenkt het maar. Vaak uitrijden kost de mobiele surveillant immers geld.

Aanrijdtijden blijven van toepassing. Lukt het de mobiele surveillant niet om in 95% van de gevallen binnen deze aanrijdtijden ter plaatse te zijn, dan wordt een malus van toepassing. De opdrachtgever ontvangt dan een substantieel deel van de afgesproken vergoeding terug. Bij heel erg vaak niet op tijd komen, kan dit leiden tot het overhevelen van omzet naar een concurrent en mogelijk zelfs tot het beëindigen van het contract met alle daarbij komende kosten ten laste van de falende mobiele surveillant.

De opdrachtgever komt aan de wens van de twee nieuw gecontracteerde mobiele surveillance partijen tegemoet, om hen van extra sleutels van iedere locatie te voorzien. Zo kunnen zij meerdere auto’s van een sleutel voorzien en is men flexibeler in wie naar de locatie te sturen en daarmee de tijdslijnen en percentages te realiseren.

Het resultaat

Het eerste contractjaar lukt het beide gecontracteerde partijen niet om te voldoen aan de gestelde normen. Een aanzienlijke malus is het gevolg. Pas nu lijken de partijen wakker geschud. Beiden nemen binnen de eigen organisatie maatregelen om te voorkomen dat de meldingen van de opdrachtgever op de grote hoop gaan van ‘uurtje-factuurtje’.

Eenieder binnen de organisatie laten beseffen dat rijden voor deze opdrachtgever de eigen organisatie geld kost in plaats van oplevert, dat vraagt om een andere aanpak. Meldingen worden beter gemonitord en locaties met veel meldingen worden overdag bezocht om te bepalen waar verbeteringen mogelijk zijn. Aan het einde van het tweede jaar is de performance van beide leveranciers sterk verbeterd. Men heeft sinds jaren zelfs de eerste aanhoudingen weten te doen.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

De belangrijkste focus voor ons is opdrachtgevers meer zekerheid te kunnen bieden, dat de kwaliteit van hun beveiliging voldoet aan de eisen die de eigen organisatie hieraan stelt. En dit tegen de laagst mogelijke kosten.

Mochten leveranciers aan komen zetten met argumenten van ‘kan niet’, ‘bestaat niet’ of ‘lukt niet’, dan weten we als geen ander dat we de oplossing voor een opdrachtgever dan elders moeten gaan zoeken. Want het kan toch niet waar zijn dat je duur geld neertelt voor iets wat je niet wilt hebben? Dan moet je iets anders. Wij denken anders. In het belang van de opdrachtgever. In het belang van de ontwikkeling van het vakgebied.

Trainen van coördinatoren beveiliging

“Practice is the hardest part of learning, and training is the essence of transformation.” (Ann Voskamp) 

Hoe wij de beveiligingscoördinatoren binnen de organisatie klaarstoomden om hun rol goed te kunnen vervullen

De directie Facility Management van deze opdrachtgever wordt verantwoordelijk gemaakt voor de uitvoering van fysieke beveiliging. Hoewel deze directie al jaren is betrokken bij de bouw en verbouw van de eigen kantoren, omvat het verantwoordelijk zijn voor fysieke beveiliging diverse elementen waar men minder mee bekend en vertrouwd is.

Met name het integraal benaderen van dit vakgebied met daarin het vinden van een juiste balans tussen organisatorische, bouwkundige en elektronische maatregelen maakt hierin het verschil. Bij een audit door de interne auditafdeling wordt de constatering gedaan dat lang niet alle medewerkers van Facility Management, verantwoordelijk voor de beveiliging van de landelijke hoofdkantoren, over voldoende kennis van het vakgebied beschikken.

De klantvraag

Realiseer dat de coördinatoren die verantwoordelijk zijn voor de beveiliging van de landelijke hoofdkantoren over een goede basiskennis van fysieke beveiliging beschikken.

De aanpak

Het al langer met fysieke beveiliging bekende kernteam vraagt een landelijke coördinator om samen met het kernteam en Learning & Development een training te ontwikkelen. Learning & Development adviseert als opleidingsdeskundige afdeling een training te ontwikkelen, die gebaseerd is op bestaande, specifieke situaties.

Deze situatie wordt centraal als voorbeeld gesteld. Hier wordt vervolgens de theorie vanuit het beleid en vakgebied aan toegevoegd. Door dit vervolgens te combineren met een interactief element ontstaat een training, die volgens de leertheorie beter wordt ervaren, beleefd en onthouden dan iemand met een pak boeken vol informatie op te zadelen.

In overleg met de verantwoordelijke managers wordt bepaald dat meer dan alleen de landelijke coördinatoren de training moeten volgen. Ook de dagelijks in de panden aanwezige huismeesters, de product- en contractmanagers, de projectleiders huisvesting worden aangemerkt als te trainen medewerkers. Ook van buiten Facility Management wordt interesse getoond voor de training. Niet alleen de beleidsmaker meldt zich als geïnteresseerd, ook diverse medewerkers van de tweedelijns partijen: de partijen die toe zien op hoe Facility Management zijn uitvoerende rol op het gebied van fysieke beveiliging invult.

De bij het kernteam betrokken landelijke coördinator toetst bij zijn collega’s in het land waar hun behoefte ligt, wat zij nu zelf aangeven te missen en wat zij wel en niet als interessant ervaren. Mede op grond van deze input worden de cases vanuit de praktijk bij elkaar gesprokkeld. En wordt alle voor handen materiaal vanuit de theorie en praktijk bij elkaar gezocht.

Het resultaat

Met een externe leverancier wordt de opleiding volledig ontwikkeld. Vijf cases worden uitgewerkt, inclusief film- en fotomateriaal. Plaats en tijdonafhankelijk kan de training online worden gevolgd. Men kan stoppen op ieder gewenst moment om de training weer later te vervolgen daar waar men gebleven is. En als extra wordt gerealiseerd dat de training online beschikbaar blijft en daarmee een te allen tijde raadpleegbaar informatiebestand is. De training wordt afgesloten met een korte test, waarvan is gesteld dat 70% van de punten moet worden behaald om als geslaagd de training te kunnen beëindigen. Een evaluatie maakt deel uit van de test.

Uiteindelijk volgen 86 medewerkers de training en 74 ronden de training ‘geslaagd’ af. 89% van de deelnemers geeft aan dat de training hen het antwoord heeft gegeven op de vraag waarom fysieke beveiliging belangrijk is voor de organisatie en zij geven aan te zien waar zij hun bijdrage het best kunnen leveren.

De resultaten van de trainingen zijn met audit gedeeld en vormden voldoende aanleiding om de gedane constatering binnen de gestelde tijdlijn op ‘afgehandeld’ te zetten.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Waarom is beveiliging voor een organisatie belangrijk en wat kan ik als medewerker hieraan bijdragen? Als je in het vakgebied zelf dagelijks bezig bent, dan heb je dit wel op het netvlies. Maar hoe zit dat als je naar alle medewerkers binnen de organisatie kijkt? Zouden zij ook beseffen dat er diverse risico’s zijn, die de continuïteit van de organisatie en daarmee hun eigen toekomst bedreigen en dat juist door hun handelen en toedoen aan deze risico’s het hoofd geboden kan worden?

Doen we de goede dingen en doen we deze goed? Deze kernvraag hanteren wij voortdurend. Wij helpen door de bewustwording over de risico’s die de organisatie loopt bij medewerkers onder de aandacht te brengen. Bijvoorbeeld door het ontwikkelen van een doelgroep gerichte training, zoals in bovenstaande case. Maar ook door het ontwikkelen van een voor een bredere doelgroep gerichte awareness training. Inclusief een 0-meting en met periodieke metingen van het effect van de training.

Business Continuïty & Disaster Recovery

“Ik moet rennen, springen, vliegen, duiken, vallen, opstaan en weer doorgaan.” (Herman van Veen)

Een middelgrote organisatie in de financiële sector had in een ver verleden eens een Business Continuïty Plan op laten stellen. “Omdat andere organisaties dat nu eenmaal ook hebben en wij daar niet bij achter konden blijven”, zo verwoorden ze het letterlijk. “Een dergelijk plan komt alleen uit de kast als er zich een incident voordoet en we alle zeilen bij moeten zetten om zo snel mogelijk weer operationeel te zijn.”

Gelukkig was er al jaren niets bijzonders gebeurd, waardoor het plan al die tijd in de kast was gebleven. Het plan was inmiddels ook flink achterhaald. Zou er wat gebeuren, dan zou de organisatie helemaal niets meer aan dit plan hebben. Het sloot al lang niet meer aan bij de huidige processen. En vele in het plan vermelde gegevens waren sterk verouderd, waaronder de belangrijke contactgegevens van de contactpersonen en hulpdiensten.

De klantvraag

De klant vroeg ons het Business Continuïty Plan te evalueren en waar nodig te actualiseren. Daarbij werd het verzoek gedaan om vooral een praktisch plan te maken en niet alleen een papieren tijger.

De aanpak

Om aan de vraag van de klant invulling te geven, was wel wat werk nodig. Met name aan de cultuur bij de opdrachtgever was het nodig te veranderen. Je kunt het plan immers wel actualiseren en praktisch maken, maar als de organisatie niet in een dergelijk plan gelooft en het nut en de noodzaak van dit plan niet beleeft, dan begin je in feite aan iets onzinnigs.

Toen we het originele plan voor het eerst onder ogen kregen schrokken we wel even. Het was niet alleen een sterk verouderd maar ook vooral een theoretisch plan dat er op papier misschien goed uit zag maar in de praktijk nauwelijks bruikbaar is.

Wij hebben het plan opnieuw vormgegeven vanuit een praktische insteek. We hebben gekeken naar de kritische processen en de kritische systemen van deze organisatie en het plan daarop ingericht. Gelijktijdig hebben we de gegevens in het plan geactualiseerd.

In het plan hebben we niet alleen de maatregelen opgenomen om tijdens een incident zo goed mogelijk door te kunnen gaan (business continuïty) maar we hebben ook die maatregelen opgenomen om na een incident weer zo snel mogelijk terug te kunnen keren naar de “business as usual” (disaster recovery).

Daarnaast hebben we een voorstel gedaan voor een trainingscyclus. Juist om hetgeen in het plan staat te laten leven binnen de organisatie. Tijdens een crisis gelden een aantal andere spelregels waar je in de dagelijkse gang van zeken geen weet van hebt. Die heb je niet zomaar door. Die moet je oefenen, beleven, evalueren en verbeteren tot het begrepen wordt.

Het resultaat

Het resultaat was niet alleen een geactualiseerd plan, maar vooral ook een praktisch plan dat ervoor zorgt dat gedurende een incident de belangrijkste processen nog zo goed mogelijk door kunnen gaan. En dat er vervolgens op gericht is om zo snel mogelijk naar een situatie terug te keren zoals deze was voor het incident. Een incident zorgt al voor enorm veel (onvoorziene) kosten maar als we niet zo snel mogelijk weer terug kunnen naar de normale situatie dan kost het de organisatie nog veel meer.

Business Continuïty en Disaster Recovery zijn beiden belangrijk voor de continuïteit van een organisatie. En daarmee voor het vertrouwen van de medewerkers, klanten, leveranciers en wie nog meer een belang heeft bij de organisatie.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Hebben om het hebben is een typisch voorbeeld van op regels (rule based, ook wel compliance based ) gebaseerd handelen. Een vinkje kunnen zetten bij de vraag of je erover beschikt. Maar dan heb je het volgens ons niet goed begrepen.

De belangrijkste focus is dat je je bewust bent van de risico’s en je er continu op gericht bent om deze risico’s te regisseren, juist ook als een risico zich manifesteert (een incident). Op risico’s gebaseerd handelen. Dat is waar wij voor staan.

Een plan hebben is iets, maar een plan uitvoeren is iets anders. Van proberen kun je leren. Met het regelmatig goed doorlopen en het oefenen van de plannen ga je ze beleven. Missers en fouten zijn hierbij welkom, om daarmee de gewenste resultaten weer scherp te krijgen en daarom procesaanpassingen door te voeren gericht op het beste resultaat. Wij leveren ondersteuning bij alle onderdelen van crisismanagement: van plan tot training, van audit tot aanpassing.

Full-service onderhouds overeenkomst

“Kwaliteit is het resultaat van slimme inspanning.”

Hoe wij zorgden voor resultaatverplichting zodat beveiliging beter gegarandeerd wordt

Een grote organisatie met bijna 1.000 locaties in Nederland had een onderhoudscontract voor een van haar beveiligingsinstallaties, gebaseerd op een abonnement voor preventief onderhoud en het afrekenen van correctief onderhoud op basis van uurtje-factuurtje plus materiaal.

Interne regelingen bepalen dat moet worden aangetoond, dat waarvoor betaald is, ook daadwerkelijk is geleverd. Zowel aan de kant van de leverancier als de opdrachtgever werd een administratie gevoerd, die zijn weerga niet kent. En die afleidde van waar het nu werkelijk om gaat: een goed functionerende installatie.

De klantvraag

“Ik wil een contract, dat het resultaat centraal stelt in plaats van de inspanning, zonder hogere kosten.”

De aanpak

Op basis van een spend-analyse is gekeken naar wat er in de afgelopen jaren is betaald aan onderhoud. Zo werd duidelijk welke werkzaamheden en materialen allemaal in de kosten waren afgedekt. Tevens werd duidelijk dat alle genoemde uitzonderingen veel extra administratie en kosten met zich brachten. Zo kost het van ‘inclusief reiskosten’ uitgesloten ticket van de veerboot beide partijen bijvoorbeeld het vijfvoudige aan administratie. En de eis van benodigde toestemming voor reparaties boven een bepaald bedrag, betekende in de praktijk dat er meestal zoveel tijd verstreek, dat hier niet op locatie op gewacht kon worden en vervolgens extra kosten voor voorrijden en opstarten werden gemaakt.

Een gedegen uitgevoerde spend-analyse gaf beide partijen inzicht in de kostenstructuur. Ook in wat het effect zou zijn als alle in het verleden geformuleerde uitzonderingen nu in een all-in tarief zouden worden meegenomen. In plaats van tig contractuele bepalingen werden kritische performance indicatoren (KPI’s) geformuleerd, die grip geven op het gewenste resultaat van het contract. Enerzijds de eis ten aanzien van de oplostijd van storingen, anderzijds de eis aangaande de beschikbaarheid van het systeem.

Er is zo een contract tot stand gekomen, dat per locatietype een vaste prijs per jaar heeft voor al het te verrichten onderhoud. Groei of krimp van het aantal locaties heeft geen effect op de vastgestelde prijs. En, behoudens vandalisme en natuurgeweld, is alles in de prijs inbegrepen. Per maand wordt belast voor het aantal locaties dat moet worden onderhouden. Er wordt per kwartaal gerapporteerd over de resultaten op de KPI’s en tevens worden dan de aantallen locaties die onder het contract vallen getoetst.

Het resultaat

Er ligt nu een voor de opdrachtgever financieel voordeliger onderhoudsovereenkomst, waarin wordt gestuurd op het gewenste resultaat van het onderhoud qua beschikbaarheid van het systeem en een tijdige reactie in het geval van verstoring.

De versimpeling van het contract en het wegvallen van administratie compenseert het door de leverancier ingecalculeerde risico voor full-service onderhoud op een al jaren bestaand installatielandschap.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Resultaatgerichtheid en een risk based benaderwijze is wat ons bijzonder maakt en onderscheidt van de rest. Kosteneffectief en kostenefficient zijn hierbij de kernbegrippen. Wij sturen op een bij de organisatie passende beveiliging met een verbeterde prijs-kwaliteitsverhouding. Dat is voor ons regie voeren over de beveiligingsketen.

Risico Acceptatie Proces

“De tool heiligt de middelen.”

Eind 2013 wordt de afdeling Facility Management van een organisatie verantwoordelijk gesteld voor de uitvoering van het nieuw vastgestelde beleid op het gebied van fysieke beveiliging. Het beleid wordt door de beleidsmaker aangeleverd. Het is de verantwoordelijkheid van Facility Management om het programma van eisen op te stellen en te implementeren.

Wat zou moeten, is dat het beleid aangeeft welk risico wordt gelopen en waarom dit risico moet worden gemitigeerd. Hoe de mitigatie vormgegeven kan worden, moet dan zijn beslag krijgen in het programma van eisen. Wat we vaker zien, is dat de begrippen ‘Waarom, Wat en Hoe’ door elkaar worden gebruikt en soms met elkaar worden verward. Dat is hier ook het geval.

In het beleid wordt bijvoorbeeld gesteld dat een conferentiecentrum binnen de beveiligde schil moet liggen, omdat er anders een risico is dat informatie ongewenst openbaar kan worden gemaakt (filmen, afluisteren). Maar een groter risico van een conferentiecentrum binnen de beveiligde schil is, dat het dan voor personen van buitenaf relatief eenvoudig is om zaken te zien die ze niet zouden moeten kunnen zien omdat ze zich binnen de beveiligde schil begeven. Het is maar net welk risico je groter vindt.

Het risico om informatie niet ongewenst in de openbaarheid te brengen kun je op meerdere manieren het hoofd bieden. Het ‘Wat’ is hier verward met het ‘Hoe’. Er wordt daarmee een oplossing voorschreven, die niet alleen zeer kostbaar is, maar die ook andere risico’s met zich meebrengt. Dat is vaak het geval. Iedere maatregel die je neemt, brengt in potentie weer nieuwe risico’s met zich mee.

De klantvraag

Zorg voor een geformaliseerd proces, dat de organisatie toestaat op grond van een goede argumentatie en afstemming met alle belanghebbenden af te kunnen wijken van het gestelde in het beleid.

De aanpak

Binnen de organisatie is reeds een generiek Risico Acceptatie Proces aanwezig, waarbij met het onderwerp beveiliging zonder problemen kan worden aangesloten. Onder opgave van het risico en de motivatie voor het accepteren van het risico, kan het proces worden gestart. Alle relevante stakeholders worden benoemd en gevraagd om zich inhoudelijk uit te spreken over het risico en de motivatie voor de acceptatie.

Specifiek voor fysieke beveiliging wordt een Risico Acceptatie vooraf besproken in een tactisch overleg, waarbij de voor beveiliging meest relevante belanghebbenden aanwezig zijn. Hier wordt meer inhoudelijk op de materie ingegaan en wordt inzicht gegeven in de gemaakte afweging. Het voordeel is dat een risico niet door een individu geaccepteerd wordt, maar door alle belanghebbenden wordt afgewogen en vervolgens goed wordt gedocumenteerd.

Risico’s gekwalificeerd als ‘hoog’ worden aan het strategisch overleg ter beoordeling voorgelegd en de eigenaar van het risico neemt het risico mee voor bespreking in het managementteam en registratie in de beheerstool. Beveiligingsrisico’s worden zo onderdeel van het standaard Risico Acceptatie Proces binnen de organisatie.

Het resultaat

Veelal worden de onderdelen van een beveiligingsraamwerk in eerste instantie vrij generiek beschreven. Juist door goede discussies over het nut en noodzaak van gevraagde maatregelen bij een risico krijg je binnen een organisatie begrip voor elkaars standpunten en ook het besef dat wat voor de ene situatie passend is, dat voor een andere situatie niet hoeft te zijn.

Juist deze discussies over de werkelijke risico’s die je loopt en welke maatregel het best zou passen, rechtvaardigen de te maken kosten voor het mitigeren of accepteren van het risico het best. Niet door beveiliging als iets bijzonders te zien, maar juist door gebruik te maken van reeds bestaande processen.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Doen we de goede dingen en doen we de dingen goed? Deze kernvraag hanteren wij voortdurend en bij alles wat we doen. Daarom ook adviseerden wij de opdrachtgever te kiezen voor een risk based benadering: eerst kijken naar de risico’s en dan passende maatregelen treffen.

Het zou de weg van de minste weerstand zijn geweest om als uitvoerende organisatie gewoon te doen wat werd gevraagd, nl. de opgesomde maatregelen te treffen. Dan zou rule based gehandeld zijn en zou juist de kern van risicomanagement, het managen en regisseren van risico’s, ten onder zijn gegaan aan verstand op nul uitvoeren.

Het nemen van de juiste maatregelen bij de juiste risico’s zorgt er uiteraard voor dat je geen overbodige kosten maakt. Daarbij is het met elkaar in gesprek zijn over de risico’s en de maatregelen feitelijk het belangrijkst. Daarmee houd je het beleid, het begrip en de aandacht voor beveiliging levend.

Methodiek voor risicomanagement

“Het grootste risico is het risico dat je niet regisseert.”

Er zijn heel veel methoden op de markt, die gericht zijn op het inzichtelijk maken van risico’s die organisaties lopen. Veel organisaties hebben echter geen vaste methode om de risico’s die ze op het gebied van beveiliging lopen goed inzichtelijk te maken en te houden. Onder ‘goed’ verstaan we dan in dit geval: dusdanig, dat de risico’s ook echt worden begrepen door zoveel mogelijk medewerkers.

Als de organisatie al wel zo’n methodiek heeft, dan zie je vaak dat deze erg ingewikkeld is gemaakt. Het is een heel professioneel opgesteld systeem met veel afwegingen en veel kleurgebruik. Voor sommigen moet je haast wel academisch geschoold zijn om de methode te kunnen hanteren. Het gevolg hiervan is dat slechts een enkele, daartoe gespecialiseerde functionaris de methode kan gebruiken of dat er specialisten nodig zijn en dan ingehuurd moeten worden om de periodieke risicoanalyses uit te voeren.

Organisaties worden daarmee afhankelijk van deze specialisten. Je kunt het proces van risicomanagement wel uitbesteden maar je zult toch zelf een keuze moeten maken in wat je met de onderkende risico’s wilt (accepteren, mitigeren).

Afhankelijkheid voelt al niet goed, maar erger is nog dat door de complexiteit van de gekozen methode de aandacht wordt afgeleid van de inhoud waar het om gaat: kennis van de organisatie met diens specifieke eigenschappen en risico’s en daarmee het kunnen voeren van een gedegen, doordacht en gedragen risicomanagement.

De klantvraag

Ontwikkel een praktische risicomanagement methodiek, die door een grote groep mensen binnen onze organisatie zelf kan worden uitgevoerd om zo de risico’s beter en begrijpelijker inzichtelijk te maken om dan vervolgens de juiste beslissingen te kunnen nemen om deze risico’s goed te managen.

De aanpak

Vanuit de verschillende risicomanagement methodieken hebben we een selectie gemaakt van vrij simpele tot zeer complexe methodieken en op basis daarvan een voorstel gedaan die het best aansloot bij de organisatie van de opdrachtgever.

Organisaties moeten accepteren dat risicomanagement veelal geen exacte wetenschap is omdat de statistieken op het gebied van beveiliging nu eenmaal vaak onvolledig zijn en risico’s nu eenmaal tot onzekerheden leiden. Er moet een keuze gemaakt worden tussen methodieken die te eenvoudig zijn en te weinig zekerheid bieden en methodieken die wellicht iets meer zekerheid bieden maar voor de meeste medewerkers onbegrijpelijk zijn.

De voorgestelde methodiek is maatwerk en is verder uitgewerkt in duidelijke instructies zodat het voor iedere medewerker begrijpelijk is wat er van hem of haar verwacht wordt. Op basis van de risico inschatting door de medewerker zelf kan hij of zij zelf ook veel beter bepalen welke beveiligingsmaatregelen nodig en welke maatregelen overbodig zijn.

Tot slot hebben wij de organisatie verder op weg geholpen door de eerste risicoanalyses op het gebied van beveiliging te faciliteren. Hiermee kregen zij snel inzicht in de risico’s die ze lopen en waar nog aanvullende maatregelen nodig waren. Vervolgens is de methodiek overgedragen aan de organisatie en belangrijker nog: geborgd in de organisatie zodat de medewerkers er zelf gebruik van kunnen blijven maken.

Het resultaat

Het resultaat is dat voor deze organisatie een risicomanagement methodiek is ingevoerd, die in opzet eenvoudig is om in te vullen. Er wordt een goed inzicht gegeven in de risico’s die de organisatie loopt. Maar het belangrijkste is dat veel meer medewerkers dan voorheen zich nu meer betrokken voelen bij het risicomanagement van de organisatie. Er is een omslag gemaakt van rule based denken (het implementeren van maatregelen) in veel meer risk based denken (het implementeren van maatregelen als die een onacceptabel risico afdekken).

De methodiek en de risico’s worden niet meer gezien als het feestje van een ander, maar als een onderwerp waar men zelf nauw bij betrokken is. Iedere medewerker neemt zijn of haar verantwoordelijkheid voor de continuïteit van de organisatie en daarmee ook voor de risico’s van hun eigen werk.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Met een compleet pakket aan diensten helpen wij organisaties in control te komen en te blijven op het gebied van beveiliging. Van het onderzoeken van welke methodieken het best passen bij het risicomanagement van de organisatie tot en met het implementeren hiervan.

Hierbij is onze focus gericht op de acceptatie van de methodiek door de medewerkers binnen de organisatie, zodat zij zelfsturend worden in het managen hiervan.

Beveiliging: De goede dingen doen

“Het voordeel van een slecht geheugen is dat men van dezelfde goede dingen meer dan eens kan genieten.” (Friedrich Nietzsche)

Een grote landelijke financiële dienstverlener is bezig met een pilot voor het versterken van de buitenschil. Een overgroot deel van de met operationele uitvoering van fysieke beveiliging belaste functionarissen hebben immers de overtuiging dat een hogere weerbaarheid van de buitenschil van een pand zal leiden tot een verlaging van het aantal beveiligingsincidenten.

Vrijwel gelijktijdig is onder aansturing van de afdeling Veiligheidszaken een projectteam geformeerd, die richt zich op het verhogen van de preventieve beveiliging. Vroegtijdig detecteren in combinatie met een snellere opvolging moet leiden tot het verhogen van de pakkans en daarmee verlaging van het aantal incidenten.

Waar de beleidsmaker zich dus richt op eerst signaleren en vervolgens vertragen, wordt op operationeel niveau gewerkt aan het nog meer vertragen, waarna vervolgens wordt gesignaleerd. Beide met hetzelfde doel: verlaging van het aantal incidenten, maar met een andere visie.

De klantvraag

“Doen we de goede dingen?”

De aanpak

De Security Manager stelt zich de vraag wat nu het juiste is. Hij wordt hiertoe in staat gesteld omdat hij vanuit zijn rol (sinds kort) betrokken wordt bij de drie aandachtsgebieden van fysieke beveiliging: de hoofdkantoren, de bankkantoren en de geldautomaatlocaties.

Waar Veiligheidszaken als beleidsmaker voor de geldautomaatlocaties de focus heeft op detectie voor vertragen, is binnen de facilitaire afdeling juist op het gebied van de bankkantoren de focus andersom: meer vertraging en vervolgens detecteren.

Een aantal zaken komen uit een quickscan naar voren:

  • De visie op beveiliging is in het beleid grotendeels ten onder gegaan aan de beschrijving van de organisatie, taken en verantwoordelijkheden en de te nemen beveiligingsmaatregelen;
  • Voor de drie aandachtsgebieden zijn de taken en verantwoordelijkheden bij verschillende afdelingen belegd, zowel voor waar het de uitvoering als het toezicht op de uitvoering betreft;
  • Door verschillende reorganisaties is veel kennis vertrokken en ontbreekt er kwalitatieve en kwantitatieve capaciteit bij hen die nu moeten waarnemen;
  • Er is geen integrale afstemming tussen de stakeholders.

Er wordt een overleg gestart, waarin de beleidsmakers, de uitvoerders en de toezichthouders elkaar treffen.

Het resultaat

In een goed voorbereide hei-sessie wordt een eenduidige visie op fysieke beveiliging geformuleerd. Deze visie is het uitgangspunt voor de drie aandachtsgebieden. Preventie door vroegtijdige detectie met snelle opvolging ter verhoging van de pakkans is het uitgangspunt zolang ontwaarding van de locaties nog niet 100% mogelijk is.

Vanuit de facilitaire afdeling worden de programma’s van eisen aangepast. De maatregelen sluiten daarmee weer aan op de werkelijke risico’s van dit moment.

Hiermee wordt tevens voorkomen dat de weerbaarheid van de buitenschil van de bankkantoren wordt opgehoogd naar een niveau ver boven het bouwbesluit. De investeringen worden nu gedaan op het gebied van detectie, die een dusdanige precisie hebben, dat meldingen van daaruit voor de meldkamers van de Particuliere Alarmcentrale en de politie toereikend zijn om te worden betiteld als geverifieerde melding, waarop direct wordt uitgereden.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Wij staan voor een integrale aanpak van beveiliging waarbij alle stakeholders betrokken worden. Belangrijk hierbij is een centraal gedeelde visie op beveiliging, die continu getoetst en herijkt moet worden. Doe jij binnen jouw organisatie de goede dingen? Wij helpen je graag om een antwoord op die vraag te krijgen zodat je de ten aanzien van beveiliging gestelde doelen kunt bereiken.