Security management hoort op de bestuursagenda

  • 12 Aug 2016 10:12

René Hiemstra, Director Risk Advisory, geeft iedere maand zijn visie op een ander onderwerp op het gebied van risicomanagement bij organisaties. Deze keer gaat het over de verantwoordelijkheid van bestuursleden in het managen van veiligheid.

businessmen innovation

Steeds vaker hebben organisaties te maken met veiligheidsissues. Jij bent van mening dat het bestuur om die reden security management bovenaan de agenda moet zetten, waarom?

Vrijwel ieder bestuur in Nederland heeft wel een ernstig bedreigend probleem meegemaakt of dat een crisis plaatsvond binnen of rondom de organisatie. Voor de betrokkenen is dat vaak een vormende gebeurtenis waarin je elkaar erg goed leert kennen en je je bewust wordt van de kwetsbaarheid van de eigen organisatie. Op zo’n moment kom je er dan achter dat er veel dingen zijn die je niet wist van de organisatie, de processen daarbinnen en trouwens ook over jezelf en je collega’s. In veel gevallen horen we dan van bestuursleden dat het ze heel wat waard was geweest om dingen van te voren te weten zodat het voorkomen had kunnen worden. Als je security management – althans veiligheid als onderwerp regelmatig op de bestuursagenda hebt, ben je er veel meer mee bezig en houd je jezelf beter op de hoogte.

Hoe zou het bestuur zich moeten voorbereiden op veiligheidsissues?

De eerste stap is dat je in kaart brengt met wat voor processen je als organisatie te maken hebt. En wat doe je al aan de veiligheidscomponent daarin? Er zijn bedreigingen door menselijk handelen, risico’s die voortvloeien uit de productomgeving en natuurlijke risico’s. Rekening houden met een grote overstroming of bedrijfsspionage voelt misschien heel vreemd, alsof je actiefilm-achtige scenario’s in kaart aan het brengen bent terwijl er niets aan de hand is. Maar het is een investering die je vooraf moet doen en waarin je een harde inschatting dient te maken. Voldoen aan de eisen voor certificering, vergunning en wet is goed, maar daarmee ben je als bestuur niet ontslagen van je plicht je persoonlijk te buigen over deze materie. Als een incident maar ernstig genoeg is, kan het voortbestaan van de organisatie in het geding komen. Zo’n incident mag nooit een verrassing zijn.

Is er wat jou betreft rendement te halen uit security management voor organisaties?

Het rendement van security management zit ‘m heel erg in de voorbereiding. Een veiligheidsincident kan de geloofwaardigheid en reputatie van een bedrijf aantasten. Het in kaart brengen van risico’s zijn over het algemeen vrij korte en niet zulke hele kostbare trajecten, maar het is heel veel geld waard. Zeker als zo’n risico realiteit wordt. Daar zit dan ook je rendement. Voorkomen is altijd goedkoper dan afhandelen, zeker als een incident leidt tot reputatieschade met impact op het voortbestaan van het bedrijf.

Waar ligt wat jou betreft de verantwoordelijkheid voor security management?

Bij het bestuur van een organisatie. Dit moet je niet verstoppen bij een securitymanager of een veiligheidsfunctionaris. Het is heel logisch om de portefeuille veiligheid aan een van de bestuursleden te geven zodat het een plek aan tafel krijgt. Hr en finance komen vrijwel altijd aan bod tijdens bestuursoverleggen, security zit er vaak nog niet bij, terwijl het in feite net zo belangrijk is. De zorg voor veiligheid is van strategisch belang voor de organisatie en hoort dus bij het bestuur.

In welke organisaties gaat security management al goed en waar moet nog verbeterd worden?

We zien bepaalde bedrijfstakken waar safety en security heel erg onderdeel zijn van het bedrijf, zoals bijvoorbeeld de olie- en gas industrie en de transportindustrie. Omgaan met risico is daar heel volwassen. Overheidsomgevingen zijn vaak ook goed doordrongen van risico’s. Verbeteringen zijn vaak vooral mogelijk bij bedrijven die nog jong en klein zijn. Voor dat soort organisaties voelt de zorg voor veiligheid heel snel als luxe. Door hun leeftijd zijn die organisaties doorgaans minder of niet geconfronteerd met ernstige incidenten en lijken veiligheidsrisico’s daardoor minder tastbaar. Hetzelfde geldt in mindere mate ook wek voor veel organisaties die in de dienstensfeer opereren en minder kapitaalintensief zijn.

Wat zou je willen meegeven aan de leiding van een organisatie?

Kijk naar ontwikkelingen in de buitenwereld die weer effect kunnen hebben op de organisatie. Risico is kans maal effect. Security management gaat over de beslissing om risico’s te accepteren en erop te acteren. Zorg ervoor dat je die risico’s in kaart brengt samen met subject matter experts, mensen die weten hoe het zit in jouw organisatie. In de fase daarna bekijk je welke risico’s je zelf kunt bestrijden of dat je externe hulp nodig hebt. Belangrijk is ook dat je stakeholders informeert over hoe je met welk risico omgaat. Zie security management als een functie in de organisatie waar je voor moet zorgen én als een investering waarmee je eventuele ellende kan afwenden. Het is daarom niet meer dan normaal dat security management op de bestuursagenda staat, zodat je zelf alert blijft.

Rene Hiemstra

René Hiemstra, Director Risk Advisory, G4S Nederland

^