Security en de raad van commissarissen

  • 04 Dec 2017 10:00
René Hiemstra, Director Risk Advisory, geeft iedere maand zijn visie op een ander onderwerp op het gebied van risicomanagement bij organisaties. Deze keer gaat het over toezicht op organisaties en ondernemingen. Specifiek hoe een raad van commissarissen, raad van advies of een raad van toezicht security in acht neemt.
Vergaderruimte tafel bril

Wat wordt er bedoeld met toezichthouders?

Niet de toezichthouders waar we het doorgaans over hebben in onze branche. Ik bedoel in dit artikel de mensen die toezicht houden op organisaties en ondernemingen: leden van een raad van commissarissen, een raad van toezicht of een adviesraad. In het bijzonder hoe de zorg voor veiligheid in en om die organisaties voor hen van belang is.

Hebben toezichthouders verantwoordelijkheid voor veiligheid?

Een raad van commissarissen (RvC) of een raad van toezicht (RvT) moet toezicht houden op het algemeen bestuur van een onderneming of een publieke dan wel private organisatie zoals een vereniging, een stichting of een zelfstandig bestuursorgaan (zbo). Zo'n raad kijkt naar het belang van de organisatie zelf en dat van de eigenaars of opdrachtgever, en adviseert het bestuur daarover, naast het controlerende werk. De raad baseert zich daarbij in hoofdzaak op de informatie die het krijgt van het bestuur. Veiligheid is een van de aspecten waarop een raad zich zou moeten oriënteren.

Richt een raad zich voldoende op veiligheid?

Dat is inderdaad maar de vraag. Een RvT of RvC heeft maar beperkte tijd om zijn rol waar te maken en baseert zich toch vooral op wat het bestuur van de organisatie aan informatie geeft. Als de leiding van de organisatie veiligheid niet op het netvlies heeft, zal een raad dat ook niet snel hebben. Het helpt natuurlijk enorm als er een chief security officer (CSO) of chief information security officer (CISO) is aangesteld, maar het is maar de vraag of die zo nu en dan aanschuift bij zo’n raad.

Wat we wel zien in organisaties, is dat het onderwerp toch op de agenda van een RvC of RvT komt als de centrale ondernemingsraad (cor) een directe lijn heeft met een RvC of RVT. Mensen op de werkvloer die problemen ervaren met beveiliging, kunnen die dan rechtstreeks met leden van de cor bespreken die op hun beurt de RvC of RvT informeren. Zo komen de issues dan toch bovendrijven. Een soort bypass die heel effectief kan zijn.

Een andere route is via een afdeling control of door het uitvoeren van een interne audit die een brug slaat tussen een financieel en een veiligheidsrisico. Op die manier wordt de aandacht van een RvT of RvC ook gewekt.

Dat lijkt niet optimaal. Wordt veiligheid wel als strategisch onderwerp gezien?

Het is in mijn beleving ook niet optimaal. De bovenstaande gang van zaken zie je in organisaties die aan de vooravond staan van een volgende ontwikkelslag in hun omgang met veiligheid. Als je tot nu toe veiligheid vooral als een facilitaire aangelegenheid hebt beschouwd is het niet aannemelijk dat het een strategisch onderwerp is voor die organisatie.

Als het dat wel aan het worden is, omdat er in de omgeving van de organisatie ontwikkelingen plaatsvinden die dreiging en risico vergroten, wordt veiligheid een onderwerp dat wel die aandacht krijgt in die boardroom: hoe hebben we het eigenlijk geregeld als dit of dat gebeurt? Wat doen we dan? Wie gaat er eigenlijk over? Hebben we hier wel goed genoeg over nagedacht? Het is de stap maken van traditioneel regulier naar procesmatig en integraal. Waar in de processen in de organisatie is het veiligheidsaspect kritisch of kritischer aan het worden?

Wat is de rol van een raad op het gebied van veiligheid?

Een RvC die waakt over het organisatiebelang, heeft met een goed geïmplementeerd corporate security management (CSM) een heel erg krachtig instrument om langs andere lijnen dan de financiële een meer dan bruikbaar beeld te krijgen hoe het met de organisatie is gesteld. Het begint ermee dat je als commissaris of toezichthouder er eens naar vraagt bij je bestuur: heb je je veiligheid op orde en wat doe je er zoal aan? De RvC moet daar initiatiefrijk in zijn.

Wat zijn goede vragen voor een toezichthouder om te stellen?

Kijk in ieder geval eens naar de kostenkant. Hoeveel geld geeft de organisatie uit aan veiligheid per fte per jaar? Is dat percentage van de omzet in lijn met de branche of vergelijkbare organisaties? Kijk vooral ook naar de risicokant. Zijn de belangrijkste interne en externe dreigingen in beeld en is het overtuigend wat de organisatie heeft gedaan om de risico's die eruit voortvloeien, proactief, reactief en procesmatig op te pakken?

En vervolgens: is het veiligheidsbudget in lijn met de risico's waar de organisatie rekening mee moet houden? Zijn de uitgaven aan veiligheid gerechtvaardigd of zijn de risico’s dermate dat aanvullend zou moeten worden geïnvesteerd? Als beantwoording van deze vragen onbevredigend is, dan is het tijd om bij het bestuur aan te dringen CSM serieus ter hand te nemen. Dat is in ieders belang overigens, niet in de laatste plaats van die commissaris of toezichthouder zelf.

Voorkomen van persoonlijk leed, incidenten, schade, derving, reputatiebeschadiging of eigenlijk alles wat een toezichthouder of commissaris probeert te bewerkstelligen in zijn of haar controle en advies: daar heb je CSM voor. En uiteindelijk ademen veiligheidsrisico en financieel risico echt dezelfde lucht.