Download pdf - Parate Kennisvragen

7/21/2019 Parate Kennisvragen

1/32

H1. Het proces risicomanagement

1. Leg uit hoe het ondersteunende proces van een security manager eruit kan zien.

Antwoord:

Risicomanagement voor security managers houdt dus in:

a. voldoen aan de eisen die vanuit het primaire proces of de besturing gesteld worden

b. helpen bij het bepalen van die eisen en bij de invoering van maatregelenc. het voeren van risicomanagement voor het eigen proces.

2. Wat is de essentie van het begrip risico?

Antwoord:

In deze module sluiten wij ons aan bij de omschrijving van risico in de Dikkevan Dale: gevaarlijke

of kwade kans of kansen die zich bij iets voordoen.Daarmee richten wij ons vooral op de statische

risicos. Om dat die risicoshoren bij bedrijfsprocessen, wordt het dynamische aspect echter niet

vergeten. De bedrijfsprocessen zijn immers opgezet om voordelen te behalen. Zowel het risico als de

kosten die moeten worden gemaakt om die risicos te beperken,gaan ten koste van de beoogde

voordelen.

Essentieel voor het begrip risico is dat het om een subjectieve (dus persoonlijke) beoordeling gaatvan onzekere gebeurtenissen.

3.

Wat is het risico voor een willekeurig proces, van een voorafgaande schakel in de

productieketen?

Antwoord:

Risicomanagement is erop gericht belangen te beschermen door mogelijke bedreigingen te

onderkennen en gepaste maatregelen te nemen. Deze belangen, dreigingen en maatregelen vormen

samen de kern van risicomanagement. Binnen risicomanagement wordt er steeds vanuit gegaan dat

inbreuken op de bedrijfsvoering steeds (kunnen) leiden tot een verstoring daarvan. Afhankelijk van

de situatie en de ernst van de optredende bedreiging zal de verstoring groter of kleiner zijn. Omdat

de bedrijfsvoering veelal sterk afhankelijk is van voorafgaande en opvolgende schakels in de

bedrijfsketen, zal men bijtoepassing van risicomanagement met deze ketens rekening moeten

houden.

4.

Welke rol spelen bedrijfsdoelen bij risicomanagement?

Antwoord:

Bedreigingen hebben in meer of mindere mate invloed op de continuteit van de bedrijfsvoering

(kwade kansen). Deze continuteit kan voor de meeste organisaties als een centrale doelstelling

worden gezien.

5. Wat is het nut van een structurele aanpak van risicomanagement?

Antwoord:

In afb. 2 wordt het proces van risicomanagement schematisch weergegeven. De structuur van de

aanpak wordt weergegeven door een cirkel of een wiel. De gedachte erachter is dat het proces dat

de omvang van de risicos en de kwaliteitvan de getroffen maatregelen beheerst, voortdurend

aandacht krijgt. In deze module worden de zeven stappen in het gestructureerde proces in twee

delen samengebracht. In het eerste deel gaat het om de diagnose. Binnen de afgebakende

omgeving worden de risicos bepaald en de betekenis daarvan voor deproceseigenaar. In het tweede

deel gaat het om de remedie. Welke maatregelen kunnen worden ingevoerd om de risicos het hoofd

te bieden?

6.

Waarom is de proceseigenaar degene die verantwoordelijk is voor risicomanagement?

Antwoord:

Het proces van risicomanagement laat zien hoe een overzichtelijke en stapsgewijze aanpak mogelijk

is, gericht op het beheersen van relevante risicos.Structuur in een aanpak zorgt voor overzicht en


2/32

stuurmogelijkheden. Er zijn altijd vele betrokkenen bij het onderkennen van risicos en het bedenken

en invoeren van maatregelen daartegen. Dat vraagt om cordinatie en duidelijke

verantwoordelijkheden. De centrale persoon daarbij is steeds de eigenaar van het bedrijfsproces.

Deze zal de verantwoordelijke zijn, niet alleen voor het eigen bedrijfsproces maar ook voor het

proces van risicomanagement dat daarvoor wordt uitgevoerd.

7. Wat zijn de processtappen voor risicomanagement en wat zijn de verschillen met de stappen van

de COSO-methode?

Antwoord:

Risicomanagement omvat de volgende stappen:

1. Bewustwording, het creren van de omstandigheden waarin over risicos en maatregelen kan

worden nagedacht.

2. Visie ontwikkelen, het verkrijgen van inzicht en het bepalen van de gewenste richting door het

management.

3. Besluitvorming, het bepalen van de strategie en de keuze van prioriteiten waaruit de maatregelen

volgen die zullen worden ingevoerd of verbeterd.

4. Het ontwerpen van maatregelen.5. Het bouwen en realiseren van maatregelen.

6. Het invoeren van maatregelen.

7. Evalueren, het beheren van maatregelen door permanente controle en verbetering.

Afb. 3 geeft de kubus weer die in de methode van COSO centraal staat. Deeerste dimensie (de

voorzijde) bestaat uit de acht stappen voor risicomanagement:

1. De interne omgeving.

2. De doelstellingen van de organisatie.

3. Het identificeren van bedreigende gebeurtenissen.

4. Het bepalen van de risicos.

5. De manier waarop met de risicos zal worden omgegaan.

6. Maatregelen om risicos te beheersen.

7. Informatie en communicatie over risicos en maatregelen.

8. Controle op de status van de maatregelen, de naleving.

8. Leg uit wat belangrijk is bij de keuze van een methode voor risicomanagement.

Antwoord:

Voor het uitvoeren van risicoanalyses zijn allerlei hulpmiddelen en methodes beschikbaar. Zowel

formele softwarepakketten als informele self assessment- middelen kunnen worden gebruikt. De

gebruikte methode kan bepalend zijn voor de uitkom sten om dat er binnen de methode gebruik

wordt gemaakt van bepaalde aannames. En niet alle aannames gelden in iedere situatie. Daarom is

het van belang aandacht te schenken aan de keuze van een methode. Externe deskundigen kunnen

een rol spelen bij de keuze van een methode of bij de beoordeling van de betekenis van de methode

voor gebruik in een concrete situatie. Contra-expertise is een bruikbaar middel om resultaten van

een risicoanalyse die niet helemaal worden vertrouwd of begrepen, tegen het licht te houden. De

methode die in deze module wordt gebruikt, is open in de zindat in iedere stap door de

risicomanager zelf wordt bepaald welke keuzes worden gemaakt. Voorbeelden van methode voor

risicoanalyse:

1. Geautomatiseerde hulpmiddelen (software):

CRAMM, een voor informatiebeveiliging gebruikt pakket van Amerikaanseoorsprong.

Riskwatch, een Amerikaans pakket dat de effectiviteit van maatregelenhelpt bepalen op basis van

return on investment.

2. Algemene analysemethoden:

Failure Modes Effects and CriticalityAnalysis (FMECA), een op brainstorminggebaseerde What if -

methode onder het motto: niets voorwaar houden dat niet evident is.


3/32

Gebeurtenissenboom, een methode om problemen op te lossen door verdeling toe te passen.

Foutenboom, een methode waarbij van het simpele naar het gecompliceerdewordt opgeklommen.

Hazard and Operability Analysis (HAZOP), waarbij een zo volledigmogelijke opsomming wordt

gemaakt van mogelijk falen.

3. Methode gebruikt bij informatiebeveiliging:

Afhankelijkheid- en kwetsbaarheidanalyse (A&K-analyse), een voor de overheid voorgeschrevenmethode.

4. Risicoanalyse als onderdeel van de methode die wordt gevolgd in deze module en de COSO-

methode.

9. Leg uit wat subjectief en toekomstgericht betekenen voor risicomanagement.

Antwoord:

Bij het uitvoeren van een risicoanalyse m oet men beseffen dat risicoanalyse veel subjectieve

elementen bevat. Objectiviteit is op enkele onderdelen mogelijk maar niet op alle elementen die in

de analyse worden gebruikt. Zo kunnen aan diverse bedrijfsbelangen door verschillende personen

een uiteenlopende waardering worden toegekend. Dit geldt ook voor de dreigingen. Door het veelal

onbekende karakter van een dreiging ontstaat er veel ruimte voor interpretatie, veronderstellingenen percepties.

Risicoanalyse is op de toekomst georinteerd. Dit betekent dat slechts in beperkte mate gebruik kan

worden gemaakt van gegevens uit het verleden. Statistische gegevens over het optreden en de

gevolgen van bedreigingen zijn immers algemeen en niet op specifieke situaties toepasbaar.

Bovendien is het verleden geen goede voorspeller voor de toekomst.

10.

Wat zijn de vier strategien van risicomanagement?

Antwoord:

In de praktijk bestaan er vier strategien voor risicomanagement:

Verminderen van risicos:Het treffen van maatregelen om de kans van het optreden van bepaalde bedreigingen te

verminderen (preventie) of de mogelijke gevolgen daarvan te beperken (repressie).

Preventie:

Veiligheidsvoorschriften, opleiding en training, procedures en regels, brandwerende materialen,

preventief onderhoud et cetera.

Repressie:

Crisisplannen en draaiboeken, procedures voor storingen incidentafhandeling, blusapparatuur,

helpdesk, EHBOers et cetera.

Vermijden van risicos:

Het zodanig inrichten van een bedrijfsproces dat het risico niet kan voorkomen. Hiertoe kan ook het

beindigen van activiteiten worden gerekend.

Voorbeelden: Het besluit om geen asbest te gebruiken, leidt ertoe dat

(althans in de omgeving waar het besluit geldt) in de toekomst geen

negatieve gevolgen van het gebruik van asbest kunnen optreden. Het

vermijden van contact m et iemand die de bron kan zijn van een besm ettelijke

ziekte heeft als gevolg dat het risico van besmetting door die bewuste

bron wordt vermeden.

Overdragen van risicos:

Het aan een andere partij overdragen van de gevolgen van het optreden van een bepaalde

bedreiging. In de praktijk wordt naast het overdragen van de financile gevolgen (verzekering) ook

hedging gebruikt, diversificatie, outsourcing en het aangaan van samenwerkingsverbanden. De

meeste vormen van overdragen kom en daardoor neer op een vorm van spreiding van het risico over

meerdere partijen.


4/32

Voorbeelden: Door een vergoeding te betalen voor een eventuele schadeloosstelling, kunnen de

financile gevolgen van een brand worden afgewenteld op een verzekeraar. Daarmee zijn andere

gevolgen (missen van onvervangbare zaken zoals fotos) nog niet overgedragen. Door het

outsourcen van bepaalde activiteiten worden de risicos niet overgedragen.Wel is de zorg voor de

(geoutsourcete) processen overgedragen maar de gevolgen van een falen van deze processen blijft

als voorheen het bedrijfsproces bedreigen. De zorg voor het treffen van maatregelen is echter inandere handen overgegaan.

Accepteren van risicos:

Het achterwege laten van (nog meer) maatregelen ter voorkoming van het optreden van dreigingen

of ter beperking van de gevolgen. Er kan worden overwogen dat de kosten van extra maatregelen

niet meer opwegen tegen de (resterende) risicos. Dit restant wordt dan bewustgeaccepteerd, wat

betekent dat in een voorkomend geval niet over de schade wordt gezeurd.


5/32

H2. De proceseigenaar als risicomanager

1. Wat is het verschil tussen individuele en collectieve risicos?

Antwoord:

individuele problemen, zoals kou vatten, verkeersrisicos of doehet- zelven, dan is de persoon in

kwestie de eigenaar van het proces waaraan de risicos zijn verbonden. Hij of zij zal zelf getroffen

worden door de negatieve effecten en de gevolgen dus moeten dragen. Het individu zal zelf demaatregelen treffen die hij nodig vindt.

Zodra het gaat om een bedrijfsproces (in een ruime betekenis van het woord) worden risicos al snel

collectief van aard. Zo kunnen om wonenden het slachtoffer worden van gebeurtenissen die zich

buiten hun invloedsfeer afspelen. Grootschalige incidenten in het verkeer, in de chemische industrie

of tijdens evenementen geven in de praktijk voldoende voorbeelden. De proceseigenaar is in

dergelijke gevallen verantwoordelijk voor het al dan niet nemen van maatregelen om risicos (ook

tegenover derden) tegen te gaan of te beperken. De proceseigenaar zal de risicomanager moeten

zijn van zijn eigen bedrijfsproces.

2. Waarom is het voor een proceseigenaar niet nodig specifieke kennis van risicos te hebben?

Antwoord:Zoals in vele situaties geldt ook hier het adagium dat de proceseigenaar zich moet richtenop zijn eigen sterke kanten. Voor zaken die specialistische kennis of ervaring vergen, kan een beroep

op specialisten nuttig zijn.

3. Waarom is risicomanagement van belang?

Antwoord:Risicomanagement biedt de mogelijkheid toekomstige problemen voor te zijn. Dat scheelt

veel discussie achteraf en geeft meer rust tijdens de uitvoering van de operaties waarom het

allemaal is begonnen.

4. In welke gevallen heeft een procesbenadering of juist een objectbenadering van

risicomanagement de voorkeur?

Antwoord:Bij een procesbenadering zal de aandacht voor de risicos worden gericht op de

processtappen en de daarbij gebruikte middelen, de invoer en de uitvoer en de betrokken partijen.

Vooral in de gevallen waarin een duidelijk product of dienst moet worden voortgebracht, is een

procesbenadering zinvol. De dynamiek van de processen kan daarbij volledig aan de orde komen.

Een objectbenadering is meer statisch van aard en richt zich op het handhaven van een status-quo.

5. Welke rol spelen eisen in een keten van opvolgende processen?

Antwoord:Voor de eigenaar van het leverende proces is het dus zaak goed te weten welke eisen de

afnemer stelt. Risicos kunnen dan worden gezien als omstandigheden waarin niet (of niet geheel)

kan worden voldaan aan die eisen.

6. Security management heeft als ondersteunend proces te maken met de risicos van het eigen

proces en die van het proces dat wordt ondersteund. Leg uit wat het verschil is.

Antwoord:Security management is een typisch ondersteunend bedrijfsproces. Dat betekent dat de

resultaten van dit proces bijdragen aan de successen (of teleurstellingen) van het (primaire) proces

waaraan ondersteuning wordt verleend.


6/32

H3. Bewustwording

1) Hoe hebben emoties een effect op het gedrag van een persoon?

Antwoord:Gedrag wordt bepaald door de houding die men op dat moment heeft. Daarbij speelt een

aantal factoren mee. Naast rationele aspecten die betrekking hebben op het onderwerp dat aan de

orde is, zijn er ook niet-rationele aspecten. Bijvoorbeeld: de emoties van het moment (een goedhumeur hebben, er zin in hebben),recente gebeurtenissen (met het verkeerde been uit bed

gestapt, in de file gestaan) en dergelijke. Die laatste aspecten kunnen moeilijk in algemene zin

worden benvloed omdat ze wisselend en zeer persoonlijk zijn.

2)

Welke rol speelt kennis bij het bewust omgaan met risicos?

Antwoord: Allereerst gaat het bij gedrag om de kennis die een persoon heeft van en de ervaring die

hij heeft met het onderwerp. In het geval van risicomanagement gaat het erom dat mensen op de

hoogte zijn van risicos die horen bij hetbedrijfsproces waaraan zij een bijdrage leveren. Kennis

daarover bestaat bij de meeste mensen wel in algemene zin, ook al is de kennis van specifieke cijfers

beperkt. Zo weet iedereen dat de mens sterfelijk is en een levensverwachting heeft van rond de 80

jaren. Hoe de statistische levenskansen zijn per geslacht, per leeftijdscategorie, naar geografischgebied en dergelijke, is informatie die alleen bij specialisten bekend is. In dit voorbeeld gaat het om

individuele risicos. Risicos van de onderneming, het bedrijfsproces, de eigen functie, zijn niet altijd

voor iedereen duidelijk. Bovendien is het in organisaties gewenst dat er enige mate van

overeenstemming is over risicos zodat het gedrag van demedewerkers daarop kan worden

afgestemd. Door voorlichting, opleiding en training kan daar functiegericht aan worden gewerkt.

Daarom is het van belang open over risicomanagement te spreken en te laten zien welke risicos

worden onderkend.

3) Wat is de invloed van de omgeving op iemands gedrag?

Antwoord:Naast kennis en ervaring is er de sociale omgeving die bepalend is voor houding. In het

algemeen bedoelen we hiermee dat de houding en het gedrag van andere mensen die in de directe

omgeving een rol spelen, een bepaald effect hebben op de houding en het gedrag van anderen. Een

individu laat zich dus in een bepaalde mate mede leiden door het optreden van een bepaalde

persoon of een groep waartoe hij zich aangetrokken voelt. Dat kan een voorbeeldpersoon zijn naar

wie men zich graag richt, maar ook de directe werkomgeving heeft een dergelijke invloed.

Vanzelfsprekend zal de proceseigenaar een voorbeeldfunctie hebben voor zijn medewerkers. Dat

geldt dan voor allerlei manieren waarop gedrag wordt getoond. Voor de proceseigenaar zullen

collegas en andere bedrijfsprocessen een omgeving vorm en maar ook de afnemers, leveranciers

en andere relaties waarmee hij veel contact onderhoudt.

4) Leg uit waarom straffen niet altijd voldoende helpt om mensen ergens bewust van te maken.

Antwoord: Wie gedrag van derden wil sturen, zal vooral de krachten moeten vinden die de eigen wil

van die anderen bepalen. De proceseigenaar kan overtuigen door betrokkenen met een goed

voorbeeldgedrag te laten zien dat er voordelen zijn die de nadelen overtreffen. Daarmee wordt een

vruchtbare bodem gelegd onder het proces van risicomanagement.

5)

Waarop is de BORG-methode gericht?

Antwoord: Vanaf 1 januari 2008 moet in het kader van de Regeling BORG Beveiligingsbedrijf

gebruikgemaakt worden van de Verbeterde Risicoklasse-indeling (VRKI). Het gaat hier om een

instrument om het inbraakrisico van woningen en bedrijfspanden te bepalen. Aan de hand van het

inbraakrisico kan worden vastgesteld welk soort preventiemaatregelen getroffen moet worden en

van welke zwaarte. De VRKI heeft de steun van Uneto-VNI en het Verbond van Verzekeraars. Het

Verbond van Verzekeraars heeft het Centrum Criminaliteitspreventie Veiligheid (CCV) verzocht het

beheer van de VRKI te verzorgen.


7/32

6) Welke kennis kan men gebruiken om de bewustwording te vergroten?

Antwoord:Naast de incidenten binnen de eigen organisatie zijn er de incidenten uit de omgeving.

Deze vormen een andere bron van inspiratie voor risicomanagement. Krantenberichten of bekende

gebeurtenissen in de buurt, kunnen een reactie uitlokken als: kan dat bij ons ook gebeuren? of

hoe zijn wij op eendergelijke gebeurtenis voorbereid? Een kans voor een eerste oefening met

risicomanagement. De bewustwording is gestart.

7) Wat is de rol van partijen buiten de organisatie bij de bewustwording?

Antwoord:

8)

Noem enkele factoren die de invoering van risicomanagement belemmeren.

Antwoord:Negatieve factoren voor de introductie van risicomanagement blijken voort te kom en uit:

Druk die door de omgeving wordt opgelegd. Operationele problemen van alledag kunnen leiden tot

een vermindering van aandacht voor de interne regelingen die noodzakelijk zijn om een

bedrijfsproces zo goed mogelijk te laten verlopen. Als voorbeeld van risicos die het gevolg zijn van

dergelijke ontwikkelingen, kan de verkorting van Time to market gelden. Door externe en interne

druk om zo snel mogelijk nieuwe diensten of producten op de markt te brengen, kan de inrichtingvan het bedrijfsproces dat de nieuwe dienst moet leveren op de achtergrond raken. Daardoor kan de

noodzakelijke aandacht voor de interne controle en goede procedures tekortschieten. Aan

risicomanagement komt men dan ook niet toe.

Korte en lange termijn. Bedrijfsproblemen moeten vaak op korte termijnworden opgelost, nieuwe

initiatieven moeten snel iets opleveren. Voorrisicomanagement geldt dat het effect op langere

termijn zichtbaar zal worden. De proceseigenaar heeft dus wat adem nodig en mag niet te

ongeduldig zijn. De denkhorizon van de proceseigenaar is niet altijd geschikt voor risicomanagement.

Vooral als de rol van proceseigenaar wordt gespeeld door een interim -manager, komt de langere

termijn er bekaaid af en zijn de kansen voor invoering van risicomanagement gering. Het ontbreken

van een doeltreffende en praktische methode om de eerste stappen te zetten.

Een geschikte projectleider die (eventueel m et externe hulp) kan laten zien hoe invoering mogelijk

is en waar dat toe kan leiden, kan goede diensten verrichten.

9)

Wat is de reden dat het COSO model de interne omgeving als startpunt neemt voor

risicomanagement?

Antwoord: Door de interne omgeving in het proces van risicomanagement voorop te stellen, dwingt

de COSO-methode tot bewust gedrag. Zoals in dit hoofdstuk aangegeven, is bewustzijn voor risicos

de basis voor een geslaagd risicomanagement.


8/32

H4. Visie ontwikkelen

1. Wat is de betekenis van de elementen van de formule voor risico?

Antwoord: Risico = kans x gevolg x gevoeligheid

Een kansheeft altijd betrekking op een gebeurtenis. Zonder die gebeurtenis is het gebruik van het

begrip kans zinloos. Gebeurtenissen in risicoanalyses hebben vrijwel altijd betrekking op dreigendegebeurtenissen, namelijk gebeurtenissen die een negatief effect kunnen hebben. De "dreiging slaat

dus zowel op het mogelijke negatieve effect als op het feit dat de gebeurtenis niet hoeft op te

treden.

Een gevolg of effectvan het optreden van de dreigende gebeurtenis is niet altijd gelijk. Dezelfde

gebeurtenis richt de ene keer meer schade aan dan de andere keer. Dat heeft te maken met de

intensiteit van de gebeurtenis maar ook met de plaats en het moment van optreden. Daarom

worden aardbevingen aangeduid met een cijfer die de kracht aangeeft op een schaal (in dit geval

bedacht door Richter). De dreiging aardbeving is algemener van aard dan de dreigingaardbeving

met een kracht van meer dan 6. Vanzelfsprekend zal de kans van optreden verschillen al naar gelang

de keuze van de omschrijving van de dreiging.

De gevoeligheidvoor een risico heeft betrekking op de al door de organisatie genomen maatregelen

om een risico te beperken. Dat kan door preventieve maatregelen te nemen die erop zijn gericht de

kans op een dreigende gebeurtenis te verminderen. Ook is het mogelijk repressieve maatregelen te

treffen. Deze zijn gericht op het beperken van de schade als de dreigende gebeurtenis onverhoopt

toch optreedt.

2.

Waarom is het nuttig de probleemstelling van een risicoanalyse precies te formuleren?

Antwoord: De probleemstelling kan algemeen zijn: Welke risicos zijn voor onze organisatiete

onderkennen? of specifiek gericht op een bepaalde activiteit van de organisatie, bijvoorbeeld:

Onder welke voorwaarden kunnen wij in zee gaanmet een nieuwe aanbieder van

bewakingsdiensten? In alle gevallen is dedoelstelling van het proces bepalend. Dat is de reden

waarom COSO voor het nadenken en bepalen van deze doelstelling een aparte stap heeft

gereserveerd in zijn methode, te weten: stap twee, bepalen van de doelstellingen. En als er toch over

doelen wordt nagedacht, is het ook goed een doelstelling te bepalen van de risicoanalyse. Dat

voorkomt in een later stadium het eindeloos uitbreiden van de analyse om nieuwe opkomende

vragen maar meteen mee te analyseren. Maar ook een risicoanalyse dient doelmatig te worden

uitgevoerd. Een beperking tot datgene wat als doel is meegegeven, zorgt voor overzicht en tijdige

afronding van de analyse.

3. Welke vier typen van gevolgen voor bedrijfsprocessen kunnen worden onderscheiden bij het

optreden van dreigende gebeurtenissen?

Antwoord: Deze gevolgen kunnen worden samengevat in de volgende categorien:

De kwantificeerbare tijdsafhankelijke schades.

Verstoringschade.

Niet-kwantificeerbare gevolgen.

Overige gevolgen.

4. Hoe kan de waarde van hulpmiddelen in een risicoanalyse worden bepaald?

Antwoord: De gevolgen van optredende dreigende gebeurtenissen kunnen ontstaan door het niet-

beschikbaar zijn van deze/dergelijke hulpmiddelen. Vertragingsschade van de bedrijfsprocessen kan

dus ontstaan doordat niet aan verplichtingen kan worden voldaan om dat een apparaat het laat

afweten. Het gevolg voor het bedrijfsproces wordt in de risicoanalyse in dat geval niet aan het

apparaat toegewezen m aar aan het proces. De gebruikswaarde van het hulpmiddel voor


9/32

het proces komt dus tot uitdrukking in de vertragingsschade. Als de waarde van een hulpmiddel wel

wordt betrokken in een risicoanalyse, dient dubbeltelling te worden vermeden.

5. Leg uit wat we kunnen verstaan onder een risicogebied.

Antwoord:Bedrijfsmiddelen staan in verschillende bedrijfsruimten opgesteld. Dreigende

gebeurtenissen zullen dus niet altijd alle bedrijfsmiddelen tegelijkertijd treffen. Voor de risicoanalyseis dat van groot belang. De ruim ten waarin de bedrijfsmiddelen staan opgesteld, worden in de

analyse risicogebiedengenoemd. In de analyse wordt aangegeven in welke mate men verwacht

dat bij het optreden van een bedreiging meerdere gebieden tegelijkertijd worden getroffen. Het is

immers mogelijk dat een hele etage van een gebouw wordt getroffen, of enkele aan elkaar

grenzende ruimten. Ook dit aspect kan in een risicoanalyse worden betrokken. De ene keer wil men

immers een etage als gebied beschouwen, in een andere situatie kiest men eengebouw of slechts

een specifieke ruim te of kamer als gebied.

6. Vul de parameters in van een dreiging die zich in uw eigen werkomgeving zou kunnen voordoen.

Antwoord:


10/32

7. Wat is het verschil tussen het beoordelen van opzet, bestaan en werking van

maatregelen?

Antwoord:

Opzet:

Bij de beoordeling van de opzetvan de maatregelen wordt nagegaan of de maatregelen aansluiten

op de doelstellingen voor beveiliging en het door de leiding geformuleerde beleid. Daarbij zal menook kritisch moeten nagaan of de doelen en het beleid passend zijn voor het bedrijfsproces. Voor

een aantal maatregelen geldt dat er voorschriften of wettelijke verplichtingen zijn die moeten

worden nageleefd. In die gevallen kan bij de beoordeling worden volstaan met een onderzoek naar

de mate waarin aan die voorschriften wordt voldaan. Naast voorschriften op het niveau van

maatregelen zoals de Arbowet, milieuvoorschriften, regels voor transport, voorschriften voor

brandveiligheid en bouwconstructies, zijn er voorschriften voor bepaalde branches van organisaties

die vaak ook hun eigen toezichthouders kennen, zoals banken en financile instellingen (De

Nederlandse Bank, Autoriteit Financile M arkten, AFM), telecommunicatiebedrijven (Onafhankelijke

Post en Telecommunicatie Autoriteit, OPTA), energiebedrijven en dienstverleners als accountants,

advocaten, notarissen en organisatieadviseurs.

Bestaan:

Maatregelen kunnen in opzet, dus volgens het beleid, aanwezig zijn, maar of ze werkelijk bestaan,

zal men moeten nagaan. Een doorlichting van de bestaande maatregelen kan worden uitgevoerd

door systematisch te inventariseren welke maatregelen er zijn en tevens te evalueren wat de

kwaliteit (doeltreffendheid) is van de beveiligingsmaatregelen.

Werking:

Ook al zijn maatregelen aanwezig, de naleving ervan is een apart punt van aandacht. Er kunnen

omstandigheden zijn waarbij de voortgang van het bedrijfsproces vereist dat van voorschriften wordt

afgeweken. Dergelijke omstandigheden dienen echter te worden gedocumenteerd of per geval

toegestaan.Op eigen initiatief negeren van maatregelen moet worden voorkomen.

Dat betekent dat de leiding naast het opzetten van de regelingen moet zorgen voor de feitelijke

aanwezigheid (handboeken) en controle op de naleving. Tot die controle kan ook het periodiek

beoordelen van de maatregelen worden gerekend. Daarbij kan blijken dat (delen van) maatregelen

moeten worden aangepast.


11/32

H5. Besluitvorming

1. Wat is het verschil tussen een enkelvoudige en een jaarlijkse schadeverwachting?

Antwoord: De enkelvoudige schadeverwachting (SLE) wordt per dreiging bepaald en geeft de schade

(meestal uitgedrukt in geld) weer die kan worden verwacht bij het (eenmalig) optreden van de

betreffende dreiging. Indien bij het bepalen van de gevolgschade rekening is gehouden met het feit

dat dreigingen niet altijd even intensief optreden, kan voor het berekenen van de SLE eengemiddelde worden bepaald.

De jaarlijkse schadeverwachting geeft een ander resultaat van de risicoanalyse weer en wel per

dreiging van de te verwachten schade op jaarbasis. Dit houdt in dat de Single Loss Expectancy dient

te worden vermenigvuldigd met het verwachte aantal keren (kans) dat de dreiging zich zal voordoen.

Hierbij wordt dus verondersteld dat het optreden van dreigingen keurig verloopt volgens de

aangenomen kansverdeling. Als eerder in de analyse rekening werd gehouden met de mogelijkheid

dat de frequenties van de dreigingen tussen een minimum - en een maximumwaarde kunnen liggen,

dan zal de ALE uit twee bedragen bestaan: een minimum en een maximum. Hiermee kan zowel aan

optimisten als aan pessimisten recht worden gedaan.

2.

Wanneer is het nuttig een schadeverdeling per proces te bepalen?Antwoord: Indien meerdere bedrijfsprocessen in de analyse worden betrokken of wanneer een

bedrijfsproces in onderdelen wordt geanalyseerd, kan de relatieve positie van de processen

onderling worden bepaald. Met andere woorden, de meest kritische processen worden

onderscheiden van de minder kritische.

3. Hoe wordt de schadeverwachting berekend in het geval waarin gedurende langere tijd uitval

wordt verwacht van een proces?

Antwoord: zie blz. 5.6

4. Welke schades kunnen in een risicogebied ontstaan?

Antwoord: Net als de verdeling van schades over de verschillende processen die in een analyse

worden betrokken, is het mogelijk de schades toe te wijzen aan de verschillende gebieden die

onderdeel zijn van de risicoanalyse. Omdat het bij gebieden altijd gaat om de daarin opgestelde

apparatuur, kan de schade worden getoond als vernietiging en herstelkosten. Voor vernietiging kan

een percentage worden gebruikt van de waarde die de in het gebied opgestelde apparatuur heeft.

Dit kan de boekwaarde zijn, de vervangingswaarde of een andere waarde die door de proceseigenaar

wordt bepaald. Door van alle dreigingen na te gaan of en zo ja in welke mate zij bij optreden tot

vernietiging zullen leiden, kan de vernietigingsschade per dreiging worden vastgesteld. Het

is mogelijk per gebied ook een schatting te maken van de kosten die gemoeid zullen zijn met het

herstellen van de situatie na het optreden van de dreiging. Door de apparatuur per gebied te

koppelen met de betreffende dreigingen, ontstaan de schadeverwachtingen per gebied. Dit zijn

jaarlijkse schadeverwachtingen omdat rekening is gehouden met de frequentie van de dreigingen.

5. Wat is een risicomatrix?

Antwoord: De interpretatie van de resultaten van een risicoanalyse is gericht op de mogelijkheden

die er zijn om risicos te verminderen. Dat vraagt allereerst om een overzichtelijke presentatie van de

in de analyse gebleken risicos. In eenrisicomatrix worden de enkelvoudige schadeverwachting van

dreigingen gecombineerd met de frequentie waarmee de dreigingen verwacht worden op te treden.

In afb. 6 wordt aangegeven welke actie mogelijk is voor elk van de cellen van de matrix waarin een

dreiging terecht kan komen.


12/32

6.

Wat is het verschil tussen de uitkomsten van een kwantitatieve en een kwalitatieve

risicoanalyse?

Antwoord: Vaak wordt in geval van een kwantitatieve benadering gesproken van

schijnnauwkeurigheid. Hiermee wordt dan een negatief oordeel gegeven over een methode die als

gevolg van calculaties leidt tot gedetailleerde bedragen.

Een dergelijke kwalificatie is niet terecht. In de kwantitatieve analyse wordt evenals in de

kwalitatieve gewerkt met aannames. In beide gevallen tracht men voor een specifieke situatie zo

goed mogelijk te benaderen wat de mogelijke schade zou kunnen zijn. Een berekening leidt nu

eenmaal tot een precies getal dat makkelijker te interpreteren is dan een kwalitatieve aanduiding als

ernstig, veel o fgering. Door afronding (duizendtallen) kan optisch eenglobaler beeld worden

verkregen. Een kwalitatieve benadering zal altijd voor de berekeningen eentoevlucht zoeken bij

een getalsmatige indeling van klassen (bijvoorbeeld 1 = weinig, 2 = matig, 3 = sterk). Vervolgens kan

er worden gerekend en geordend, waarbij m en weer terug kan grijpen op de gehanteerde

begrippen. Hoe verfijnder de getallen, hoe preciezer men kan rekenen en hoe meer onderlinge

verschillen bij de uitkomsten ontstaan. O m dat de uiteindelijke presentatie gebruik maakt van

rangordes en relatieve posities, is de mate van verfijning in de eerste plaats een ordeningshulp.

Daarnaast rekent het makkelijker. Bovendien is in onderlinge communicatie en bij besluitvorming

een kwantitatieve aanduiding makkelijker hanteerbaar.

7.

Hoe kan een vermindering van een risico worden gesimuleerd?

Antwoord: Verbeteringen in maatregelen hebben ook een positieve uitwerking op andere dreigingen.

Als gevolg hiervan kan het totale effect van een gesimuleerde maatregel op de organisatie nog groter

zijn. Dit kan worden aangetoond door in de simulatie de verbeteringen van de ene maatregel op alle

dreigingen te verwerken. In een dergelijk geval wordt de vraagstelling als het ware omgedraaid: wat

is het totale effect op het risicoprofiel door het verbeteren van maatregel huisregels in de klasse:

methoden, procedures en programmas?

Dergelijke what if-vragen leiden tot een kosten-/batenanalyse, omdat men bij voldoende

(verminderend) effect op de schadeverwachting kan nagaan of de beoogde effecten ook tegen een

aanvaardbare prijs kunnen worden gerealiseerd. Tot de prijs zullen in dit verband niet alleen de

kosten van installatie, introductie en onderhoud worden gerekend maar ook de last die de

maatregel betekent voor de klanten of de medewerkers van de organisatie. Daarmee loopt de

kosten-/batenanalyse vooruit op het besluitvormingsproces. Ze vereenvoudigt de discussie over de

keuze van aard en uitvoering van de maatregel. Ook de daarbij te volgen prioriteit kan bij de

besluitvorming worden betrokken.

8. Wat zijn de strategien voor het beheersen van risicos?

Antwoord:In de literatuur over risicostrategien blijken vier mogelijkheden om met risicos om te

gaan steeds weer te worden genoemd:

1.

Verminderen; het verminderen of beperken van de risicos door het treffenvan preventieve

of repressieve maatregelen.


13/32

2. Vermijden; het vermijden of opheffen van de risicos door het aanpassen van activiteiten,

methoden of bepaalde hulpmiddelen of door daarvan af te zien.

3. Overdragen-, het overdragen van (de gevolgen van) risicos aan derden.

4. Accepteren; de acceptatie van risicos.

9.

Hoe kunnen risicos worden verminderd?Antwoord: Bij deze strategie kan relatief eenvoudig worden bepaald hoever het beperken van risicos

wordt doorgevoerd. Als de kosten van het ontwerpen, realiseren en invoeren en onderhouden van

maatregelen groter worden dan de te verwachten opbrengsten (baten) in de zin van verminderd

risico, dan zal men stoppen met de maatregelen. De resterende risicos worden door de keuze van

de maatregelen vervolgens impliciet geaccepteerd. Zo hangt de vierde strategie, acceptatie, nauw

samen met de gemaakte keuze voor maatregelen. Vaak is er een duidelijke afweging van de kosten

en baten mogelijk en kan door het accepteren van meer risico met minder kosten voor maatregelen

worden volstaan.

10.Hoe kunnen risicos worden vermeden?

Antwoord: Het vermijden van risicos door het nalaten of afzien van een activiteit of hulpmiddel iseen optie die zich kan voordoen in sommige situaties. Als voorbeeld kan de dreiging van besmetting

door een computervirus gelden. Een vermijdingsstrategie kom t erop neer dat geen computers

worden toegelaten met een mogelijkheid programmatuur van buiten te laden (afsluiten van het

diskettestation en de USB-poort bij een personal computer en geen verbinding met internet

toelaten). Volledig kan deze oplossing niet zijn om dat ergens inde organisatie de mogelijkheid van

het laden van programmatuur zal moetenbestaan, ook voor deze computers. Overigens blijft in

die situatie ook nog de kans bestaan dat een medewerker zelf een virus maakt en die intern

verspreid.

11.Hoe kunnen risicos worden overgedragen?

Antwoord: Het overdragen als strategie is meestal maar beperkt toepasbaar. Er is een mogelijkheid

bepaalde activiteiten over te dragen aan een andere organisatie (outsourcing). In een dergelijke

situatie blijven de risicos in stand maarworden ze door een derde gedragen. Deze heeft de zorg voor

de maatregelen en de instandhouding daarvan. Alle rompslomp is dus overgedragen door de

proceseigenaar. Maar iemand die een deel van een bedrijfsproces de deur uitdoet, blijft wel

degelijk afhankelijk van de goede en tijdige werking van die hulpmiddelen. Alleen door de partij aan

wie hij de operatie heeft overgedragen, te wijzen op de verantwoordelijkheid voor de beveiliging,

blijft het risico beheersbaar. De door de derde te nemen maatregelen zullen in een overeenkomst

(service level agreement) moeten worden vastgelegd. Daarmee wordt de doelstelling voor de

beveiliging voor de overnemende partij dus bepaald. Het tonen van compliance met de

gedocumenteerde eisen, is een belangrijk onderdeel van de overeenkomst.

12.

Wat is de betekenis van het accepteren van risicos?

Antwoord: Accepteren blijft voor risicos altijd een mogelijkheid. Het probleem metaccepteren is dat

bij onverhoopt optreden van de dreiging schade ontstaat die toch te groot kan blijken te zijn. Met

andere woorden, men dacht een acceptabel risico te kunnen lopen en later blijkt dat tegen te vallen.

Die onzekerheid maakt dat in de besluitvorming vaak wordt getwijfeld. Daarbij kan meespelen

dat belanghebbenden bij de organisatie (klanten, leveranciers, werknemers, kapitaalverschaffers)

geen begrip kunnen opbrengen voor een gekozen strategie. Maar ook in die situatie is het de

proceseigenaar die de keuze moet maken: accepteren van het risico of er iets tegen ondernemen.

13.

Wat is de rol van aanbevelingen in het proces van besluitvorming?

Antwoord: Als volgende stap in het proces van risicomanagement worden aanbevelingen

geformuleerd. De gedachte achter deze stap wordt gevormd door de ervaring dat een risicoanalyse

door meerdere betrokkenen wordt uitgevoerd. Tijdens de analyse worden gegevens verzameld en


14/32

verwerkt en worden ideen geboren en beproefd in simulaties. Er worden alternatieven bedacht en

uitgewerkt; kortom , een aantal mensen is min of meer actief betrokken alvorens men een besluit

kan nemen. Het is daarom verstandig op een af andere wijze de verzamelde kennis zodanig samen te

vatten dat deze in de vorm van aanbevelingen kan worden verspreid en toegelicht.

14.

Wat is het verschil tussen een risicomijder en een risicozoeker in de besluitvorming?Antwoord: Toegepast op het treffen van beveiligingsmaatregelen zouden we kunnen beweren dat de

keuze er een is tussen: een bepaalde kans op een negatief financieel gevolg van een optredende

dreiging (de spelkeuze) tegenover de zekerheid van het uitgeven van geld (voor maatregelen) met de

verwachting dat het financile gevolg bij onverhoopt optreden van de dreiging minder groot is. De

mijders en zoekers van risicos kunnen aan de slag om met elkaar de juistekeuze te bepalen. H5.18.

15.Wat is de inhoud van een plan voor de beveiliging?

Antwoord: Het resultaat van de besluitvorming als onderdeel van het proces van risicomanagement

is een plan voor de beveiliging. Dit plan omvat een concrete en haalbare projectplanning voor alle in

te voeren maatregelen. In dit plan komen per aanbevolen (groep van) maatregel(en) de volgende

paragrafen te staan: doelstelling van de maatregel

resultaten die van de maatregel worden verwacht

betrokkenen bij de uitvoering (ontwerp, bouw en implementeren)

omschrijving van de projectactiviteiten

inschatting van de kosten en baten

benodigde tijd voor de uitvoering van het project

tijdsplanning.

Projectplannen zijn meestal binnen de organisatie al een bekend fenomeen, zodat er ervaring is met

het besturen van projecten. Daarvan kan men gebruikmaken bij de volgende stap in het proces: het

ontwerpen van maatregelen.


15/32

H6. Het ontwerpen van maatregelen

1. Welke activiteiten kunnen worden onderscheiden bij beveiligen?

Antwoord: Het ontwerpen, bouwen en invoeren van maatregelen kan worden gezien als een project,

bedoeld om de maatregel initieel te realiseren. Het gaat om een eenmalige, tijdelijke actie die

vervolgens overgaat in een fase van gebruik en beheer. Ten slotte kunnen de evaluatie en controlevan de maatregel als activiteit worden beschouwd.

2. Wat is de betekenis van weten regelgeving voor risicomanagement?

Antwoord: Het is raadzaam na te gaan in hoeverre wetten voorschriften bevatten die relevant

kunnen zijn voor de beveiliging van een organisatie tegen dreigingen. Afgezien van mogelijke

problemen in de toekomst bij niet naleven van die voorschriften, kunnen de voorschriften ook

handige hulpen zijn voor de te ontwerpen maatregelen.

3. Welke dilemmas komen voor bij het ontwerpen van maatregelen?

Antwoord: Wel kunnen algemeen bekende standaarden en norm en worden gebruikt als

richtingwijzer of richtsnoer. De keuze van de maatregelen en de wijze van uitvoering, implementatie,naleving en onderhoud vergen een betrokkenheid van de organisatie. Daarbij is een eigen

zelfstandige argumentatie over nut en noodzaak belangrijker dan het feit dat gekozen is voor in de

markt gebruikelijke oplossingen. Meestal biedt een standaard of baseline ook slechts een

zogenaamd framework waarbinnen een organisatie zelf nog eigen specifiekekeuzes moet maken.

4. Welke klassen van maatregelen kunnen worden onderscheiden?

Antwoord: De zes algemene klassen van maatregel zijn:


16/32

5. Wat is het verschil tussen fysieke en logische beveiligingsmaatregelen?

Antwoord: Een dergelijke indeling is nuttig voor de beantwoording van de vraag of maatregelen aan

hun doel beantwoorden. Dit wordt ook wel de functionaliteit genoemd. Een personele maatregel

dient allereerst doeltreffend te zijn voor personen en een fysieke maatregel dient fysieke zaken zoals

gebouwen, apparatuur en dreigingen die een fysiek karakter hebben. De indeling is dus een

functionele. Vanzelfsprekend kunnen verfijningen in de indeling worden aangebracht als daaraanbehoefte bestaat. In de literatuur worden verschillende indelingen van maatregelen aangetroffen,

meestal toepasbaar voor de beschreven situatie. Logische beveiliging heeft te maken met

softwarematige oplossingen en is maar op een beperkt terrein toepasbaar.

6.

Welke indeling van maatregelen zal worden gebruikt in de volgende hoofdstukken?

Antwoord: In de volgende hoofdstukken zullen we werken met een indeling naar:

Bouwkundige maatregelen, bestaande uit materialen die ruim ten afscheiden waardoor

afzonderlijke compartimenten ontstaan.

(Elektro)technische maatregelen, bestaande uit apparatuur en hulpmiddelen die kunnen

worden toegepast ter beveiliging van objecten en personen.

Organisatorische maatregelen, bestaande uit regelingen en afspraken over het te volgengedrag, ook ten aanzien van bouwkundige of technische maatregelen.

7. Wat is de relatie tussen bouwkundige, technische en organisatorische maatregelen enerzijds en

preventie anderzijds?

Antwoord:Tegen Indringen kan bouwkundig worden opgetreden door bedrijfsmiddelengoed op

te bergen zodat het indringen niet direct mogelijk is. Omdat het nooit zeker is dat iedere dreiging

kan worden tegengehouden, zal in de meeste gevallen sprake zijn van vertraging van de gebeurtenis.

Vaak zal vertraging voldoende zijn voor het beoogde beveiligingsniveau. Tegen Verslijten kunnen

alleen organisatorische maatregelen worden getroffen. Deze maatregelen betreffen de zorg voor het

handhaven van de maatregelen door Toezicht uit te oefenen op zowel de status van demaatregel

als de naleving ervan. Dat gebeurt onder andere door onderhoud. In de praktijk zullen weinigbouwkundige of technische maatregelen kunnen worden gevonden tegen Verslijten. Eerder zullen

deze maatregelen zelf op Verslijten moeten worden gecontroleerd.In technische zin kan aan het

bouwkundige Opbergen het Afsluitenworden toegevoegd. Zo zal een gebouw nooit alleen uit

muren kunnen bestaan om een niet-geautoriseerde buiten te sluiten. De noodzakelijke doorgangen

voor de geautoriseerde zullen dus specifiek tegen niet-geautoriseerde moeten worden Afgesloten

door het plaatsen van deuren en sloten. In logische zin kan dat bijvoorbeeld door softwarematig

persoonsidentificatie toe te passen, waarbij allerlei technische varianten mogelijk zijn.

8. Wat is de relatie tussen bouwkundige, technische en organisatorische maatregelen enerzijds en

repressie anderzijds?

Antwoord: Repressieve maatregelen beogen de schade van een opgetreden dreigende gebeurtenis(inmiddels tot een incident geworden) zo veel mogelijk te beperken. Allereerst is het daarvoor

noodzakelijk te weten dat een gebeurtenis heeft plaatsgevonden. Detectie is daarom het eerste

onderwerp voor repressie. Vervolgens komen het bestrijden van de gebeurtenis en de

schadevermindering aan de orde. Voor detectie zijn vooral technische maatregelen geschikt voor het

meten en signaleren van afwijkingen in de normale gang van zaken. Snellewaarschuwing voor een

opgetreden (of mogelijk optredende) gebeurtenis, helpt de schade te beperken om dat tijdig kan

worden ingegrepen (rookdetectie kan een signaal geven voor een zich ontwikkelende brand). Ook

kan menselijke waarneming worden gebruikt voor het geven van dergelijke signalen. Beoordeling

van situaties, signalen en toestanden maken deel uit van de organisatorische maatregelen. Audits en

controlerondes zijn hiervan voorbeelden. Bestrijding van gebeurtenissen en vermindering van schade

kan zowel bouwkundig, door het voorzien in goed toegankelijke vluchtwegen, als technisch of

organisatorisch gebeuren. Technische maatregelen omvatten middelen zoals blusapparatuur,

reserveonderdelen, redundant uitgevoerde apparatuur of voorzieningen bedoeld voor noodsituaties


17/32

(reddingsboten). De organisatorische regelingen worden vastgelegd in afspraken m et derden

(bijvoorbeeld leveranciers) en noodplannen of continuteitplannen. In afb. 7 wordt een overzicht

gegeven van de groepering van repressieve maatregelen.

9.

Wat is de reden voor het toepassen van zonering?

Antwoord: De keuze van ruim ten die als kritisch worden aangeduid, is het uitgangspuntvoor hettreffen van maatregelen. Vervolgens wordt een ordening van deze ruim ten aangebracht. Door de

ruim ten die een gelijke beveiliging vereisen te concentreren, wordt het eenvoudiger het

beveiligingsniveau te realiseren en te handhaven. Daartoe maakt men gebruik van zonering. Dit

houdt in dat een hirarchie wordt aangegeven van ruim ten en in te voeren beveiligingsmaatregelen.

10.

Wat is een kritische ruimte?

Antwoord: Een kritische ruimte is een afgeschermd deel van een gebouw, waarin een incident zoveel

schade kan aanrichten, dat de continuteit van de bedrijfsactiviteiten langdurig kan worden

verstoord.

11.

Wat is een kritisch proces?Antwoord: In relatie tot de continuteit van de bedrijfsvoering wordt vaak het begrip kritisch proces

gebruikt. Hiermee wordt aangegeven dat niet voor alle bedrijfsprocessen gelijke maatregelen hoeven

te worden getroffen met het oog op de continuteit. Zo kan bijvoorbeeld een proces voor de

orderverwerking als kritisch worden aangemerkt, terwijl het proces dat de

crediteurenadministratie verricht, als niet-kritisch wordt aangeduid. De argumentatie voor een

dergelijke keuze kan worden ontleend aan een risicoanalyse. Een kritisch proces omschrijven we hier

als: Een bedrijfsproces waarbij een inbreuk op de continuteit boven een zekere grens onacceptabel

wordt geacht.

12.Wat is het nut van een plan voor de beveiliging?

Antwoord: Het plan voor de beveiliging is een middel om voor geselecteerde dreigingen op een

beheersbare manier maatregelen te realiseren.


18/32

H7. Het bouwen van maatregelen

1. Waarover gaat het bij het bouwen vanmaatregelen?

Antwoord: Het bouwen van maatregelen zullen we beschrijven aan de hand van de indeling uit het

vorige hoofdstuk. Eerst komen de vormen van bouwkundige maatregelen aan de orde, vervolgens

die van de technische maatregelen en ten slotte gaan we in op de organisatorische maatregelen.

2. Wat betekent opbergen bij het realiseren van bouwkundige maatregelen?

Antwoord: Compartimentering kan ervoor zorgen dat incidenten beperkt blijven tot de eerst

getroffen ruimte. Daardoor vermindert compartimentering dus ook de verspreiding van de gevolgen

van incidenten. Branddeuren en -wanden zijn voorbeelden van dergelijke bouwkundige

voorzieningen. Doorlopende wanden (van bouwvloer tot bouwplafond), zijn een goede basis voor

het fysiek scheiden van ruimten. Zwevende plafonds en verhoogde vloeren hebben zwevende

wanden als gevolg. Daardoor wordt het indringenvan onheilen uit aangrenzende ruimten

vereenvoudigd. Door uitsluitend gebruik te maken van doorlopende wanden, vermindert de

mogelijkheid van het overslaan van dreigingen als brand, wateroverlast en dergelijke. De diktevan

wanden, vloeren en plafonds is niet alleen van belang voor de dragende krachten maar ook tegen

vervorming, instorting en braak en ten behoeve van brandbestendigheid.

3.

Wat betekent compartimentering?

Antwoord: In zekere zin zijn bouwkundige maatregelen als compartimentering zowel preventief als

repressief gericht. Compartimenteren is het in aparte bouwkundig gescheiden ruim ten verdelen van

een gebouw. Als gevolg hiervan ontstaan ruim ten (compartimenten) die elk op een eigen manier

kunnen worden beveiligd. Bijvoorbeeld zodat ruimte A niet vanuit ruimte B kan worden betreden.

Het verkleinen van de kans dat een dreiging optreedt door compartimentering, leidt er tegelijkertijd

toe dat de gevolgen beperkt worden omdat de dreiging niet naar andere ruimten kan overslaan,

bijvoorbeeld in het geval van brand, door de scheidingsmuren geheel door te laten lopen van vloer

tot plafond.

4. Wat betekent afsluiten bij technische maatregelen?

Antwoord: Beheersing van het toelaten van personen tot gebouwen en specifieke ruimten is een

algemeen onderwerp van fysieke beveiliging. Veelal zijn hindernissen opgeworpen om een vrije

toegang tot een gebouw en de ruim ten daarbinnen tegen te gaan. Om de toegang goed te

beheersen, wordt dan gebruikgemaakt van een toegangscontrolesysteem. Een dergelijk systeem

bestaat uit fysieke middelen zoals toegangshekken, deuren en sloten en uit organisatorische

regelingen waartoe ook bewakings- of receptiepersoneel behoort. Deze regelingen omvatten tevens

de afspraken over autorisatie voor toegang, controle van de autorisatie bij toegang en controle op de

aanwezigheid van personen. Dergelijke regelingen zijn er ook om de indringing tegen te gaanvan

vuur, water en andere stoffen die schade kunnen toebrengen.

5.

Wat is het doel van detectie?

Antwoord: Doel van detectie is steeds zo snel mogelijk het bestaan van een dreigende gebeurtenis te

ontdekken en daarover een signaal te geven aan personen of instanties die bevoegd zijn een actie te

starten. Een signaal (of melding) over een gedetecteerd voorval zal altijd worden gevolgd door een

vorm van interpretatie van het signaal, zodat men kan besluiten over actie ter bestrijding van de

gebeurtenis en de beperking van de gevolgen. Dit geldt zowel voor automatische (technische)

detectie als voor detectie door de mens (fysieke waarneming).

6. Wat is het verschil tussen handmelders en automatische melders?

Antwoord: Bij niet-automatische (brand)melding wordt verondersteld dat het personeel via de

telefoon een dreiging (brand) meldt. Deze melding, die meestal wordt opgevangen op een centraal

punt, wordt vervolgens doorgegeven aan de instantie die het gemelde incident kan bestrijden,

verhelpen of daarover moet oordelen (bijvoorbeeld de brandweer).


19/32

Automatische installaties voor het melden van inbraak en/of brand zijn gebaseerd op de detectie van

natuurkundige verschijnselen (beweging, warmte, rook) die kunnen wijzen op het manifesteren van

een mogelijke dreiging door braak, brand of waterschade. De gedetecteerde afwijking kan direct naar

de hulpdienst worden doorgestuurd zodat de reactietijd wordt bekort. Het nadeel is echter dat een

loos alarm tot frustratie kan leiden bij de hulpdiensten (diespreken ook wel van nodeloos alarm ).

Daarom geeft men vaak de voorkeur aan een beoordeling van de situatie door een lid van debewaking of beveiligingsdienst, alvorens de officile instanties te waarschuwen.

7. Hoe kunnen middelen, reserves en redundantie helpen bij het verminderen van schades?

Antwoord: Een bekend technisch middel ter bestrijding van ongewenste gebeurtenissen en het

verminderen van de mogelijke gevolgen is blusapparatuur. Die is er in verschillende soorten.

Eenvoudige brandslangen zijn veelal op haspels in gangen of in grotere ruim ten aanwezig. Het

dilemma wel of niet direct aansluiten op de wateraanvoer is bekend van de voorbeelden van

vandalisme. Voor de grap de brandslang openen kan grote gevolgen hebben. Niet direct aansluiten

van de watertoevoer betekent vertraging in het geval waarin gebruik voor het blussen van een brand

noodzakelijk is. Gecompliceerde sprinklerinstallaties kunnen worden toegepast om ruim ten met

water te kunnen blussen zonder dat een menselijke hand richting geeft aan de blussing. Deaansluiting op het systeem dat de installatie in werking stelt, is een kritiek element omdat door een

directe koppeling tussen een waarneming en het in werking stellen, de kans van loos alarm

bestaat waardoor eventuele blussing plaatsvindt zonder dat er daadwerkelijk aanleiding voor is. In

die gevallen kan grote waterschade ontstaan. Vaak wordt daarom een vertraging ingebouwd

tussen de detectie en het in werking stellen van de sprinklerinstallatie.

Beperking van schade bij storingen in apparatuur kan men bereiken door het in voorraad houden en

toepassen van reserveapparatuur. Feitelijk gaat het dan om het beperken van de schade aan het

proces dat door het uitvallen van de betreffende apparatuur wordt ondersteund. Sommige

computers worden met redundante elementen uitgerust (schijven) zodat een defect in dat element

niet direct tot het disfunctioneren van de gehele computer hoeft te leiden. Maar ook op andere

manieren kan reservemateriaal helpen de schade aan apparatuur te beperken. Een voorbeeld

daarvan is het redundant uitvoeren van kabels voor de verzorging van communicatie en energie. Het

gescheiden aanvoeren van energie naar een gebouw vanuit twee onafhankelijke leveranciers (dus

vanuit verschillende centrales) kan zorgen voor een permanente energievoorziening, ook als een van

de centrales geheel uitvalt. Datzelfde effect kan worden bereikt bij gescheiden voorzieningen voor

het transport van (gesproken of geschreven) informatie.

Een bijzonder geval wordt gevormd door voorzieningen voor noodstroom . Deze vorm van

schadebeperking in geval van het uitvallen van de stroom voorziening kent verschillende varianten.

Voorbeelden hiervan zijn reservebatterijen voor het beheerst afsluiten van de gegevensverwerking,

of een zogenaamde UPS (Uninterruptible Power Supply) die in staat is gedurende enige tijd voor

stroomvoorziening te zorgen zodat processen niet worden onderbroken, of een eigen

noodstroomaggregaat voor langdurige stroomuitval.

8.

Wat betekent toezicht bij organisatorische maatregelen?

Antwoord: Hieraan verwant zijn de regels rond het meenemen van middelen buiten deorganisatie.

Omdat buiten de organisatie de fysieke maatregelen niet werkzaam zijn, zullen regels moeten

worden gesteld zodat ook in die buitensituatie hetoptreden van bedreigingen zo veel mogelijk

wordt voorkomen. Hierbij kan worden gedacht aan voortdurend toezicht (dus niet in een auto

onbeheerd achterlaten van computers of gegevensdragers) en het veilig (afgesloten) opbergen op

locaties buiten de organisatie. Vaak worden ook vormen van versleuteling van opgeslagen gegevens

toegepast, zodat in geval van diefstal of verlies de opgeslagen gegevens niet eenvoudig toegankelijk

zijn. Dit is echter een repressieve maatregel die de kans op diefstal niet beperkt.


20/32

9. Wat betekent onderhoud bij organisatorische maatregelen?

Antwoord: In de tweede plaats gaat het om regels voor onderhoud aan het gebouw en in de

verschillende ruim ten. Deze werkzaamheden worden vaak door derden uitgevoerd. Daarop zal

toezicht moeten worden uitgeoefend. De ervaring leert dat werkzaamheden, zowel in als rond het

gebouw, vaak de oorzaak zijn van het optreden van bedreigende gebeurtenissen. Branden ontstaan

vaak door werkzaamheden door derden die on(voldoende)gecontroleerd worden uitgevoerd. Eenander bekend voorbeeld is het opgraven en vernielen van kabels bij grondwerkzaamheden.

10.Wat betekent inspectie en beoordeling voor organisatorische maatregelen?

Antwoord: Deze situatie pleit ervoor de detectie met hulpmiddelen te doen en te automatiseren.

Maar ook in die situaties komen valse meldingen voor en verdient een beoordeling van de situatie

door een deskundige de voorkeur alvorens een alarm uit te laten gaan voor het starten van acties.

Het behoort tot de organisatorische maatregelen de detectie en meldingsprocedure op te zetten die,

in combinatie met apparatuur en eventuele directe doorschakelingen, verbindingen met instanties

buiten de organisatie (politie, brandweer, GGD) tot stand brengen.

11.

Wat betekent plannen en regelingen voor organisatorische maatregelen?Antwoord:Organisatorische maatregelen voor bestrijding van incidenten en het verminderen van

mogelijke schade, worden veelal in de vorm van plannen aangetroffen. Dergelijke plannen bevatten

een aantal elementen zoals:

een procedure om vast te stellen wat de ernst is van een incident

alarmeringsprocedures

de aanwijzing van verantwoordelijken tijdens een incident

uit te voeren acties

het inschakelen van instanties zoals politie en brandweer

communicatie met officile instanties, de pers, leveranciers en dergelijke.

12.

Waaruit bestaat een bedrijfsnoodplan?Antwoord: Een van de maatregelen is het opstellen van een bedrijfsnoodplan waarin de volgende

onderdelen zijn opgenomen:

1. een veiligheidsplan

2.

een brandpreventieplan

3.

een aanvalsplan

4.

een ontruimingsplan.

13.Leg uit welke procedures het beheren van wijzigingen mogelijk maken.

Antwoord: Uitgangspunten voor wijzigingenbeheer:

1.

Wijzigingen op apparatuur, programmatuur, gegevens en/of documentatie van applicaties

vinden alleen plaats met schriftelijke (geautoriseerde) toestemming van de desbetreffendeeigenaren.

2. De opdrachtgever van wijzigingen is verantwoordelijk voor de specificatie van beveiligingseisen

en -maatregelen.

3. De eigenaars dan wel beheerders zijn te allen tijde op de hoogte van lopende wijzigingen,

geplande wijzigingen dan wel de frequentie van wijzigingen. Tijdens het wijzigingsproces vindt

door de wijzigingscordinator terugkoppeling plaats aan de opdrachtgever en

eigenaar/functioneel beheerder.

4.

Voor het beheer van wijzigingen en uit te voeren onderhoud in de brede zin van het woord

(correctief, adaptief, preventief en/of perfectief) zijn de volgende procedures opgesteld:

verzoek

uitvoering testen en acceptatie


21/32

implementatie

toetsing.


22/32

H8. Invoeren

1. Wie worden bedoeld met beheerders van maatregelen?

Antwoord:Voorbeelden van beheerders van de maatregelen zijn functionarissen zoals

bewakingspersoneel, beheerders van ICT-middelen, security officers en personen die

autorisatietabellen beheren, bij een helpdesk werken of tot officile instanties behoren die zijningericht om op te treden bij incidenten (EHBO, GGD, Politie, Brandweer).

2. Wie moeten maatregelen naleven?

Antwoord:Diegenen die de maatregelen moeten naleven, kunnen worden verdeeld in een interne

en een externe groep. Het verschil tussen deze twee groepen is dat de internen geacht mogen

worden op de hoogte te zijn van de voor de organisatie belangrijke zaken. Begrip voor risicos en het

naleven van maatregelen kan door voorlichting, opleiding en (werk) gesp rekken duidelijk worden

gemaakt. Ook kunnen zij door de dagelijkse gang van zaken een gevoel krijgen voor belangrijke

aspecten van beveiliging. Voor externen ligt dat anders. Zij kennen de organisatie niet altijd even

goed en hebben dus ook niet een dusdanig sterke band dat het gevoel voor risicosen beveiliging als

vanzelfsprekend mag worden aangenomen. Externen moeten dus op een specifieke manier op dehoogte worden gebracht van maatregelen die hen aangaan. Een bijzondere groep wordt gevormd

door de mensen die tijdelijk in dienstzijn. Stagiaires, uitzendkrachten, (onderhouds)personeel van

derden en dergelijke vormen een groep die soms niet goed van internen is te onderscheiden.De

proceseigenaar doet er goed aan na te gaan of er een reden is om dergelijke groepen specifieke

aandacht te geven wanneer het gaat om beveiliging. Beveiligers, mensen die zich vanuit hun beroep

bezighouden met allerlei aspecten van beveiliging, vorm en een aparte categorie. Zij zijn vaak juist te

werk gesteld om bepaalde maatregelen uit te voeren of daar toezicht op te houden. Zij zullen vanuit

hun kennis en ervaring de bedoeling van maatregelen makkelijker begrijpen dan andere

medewerkers en ook met het naleven minder moeite hebben.

3. Wat zijn toezichthouders?

Antwoord: Er kunnen twee groepen van toezichthoudende instanties of personen worden

onderscheiden. In de eerste plaats de groep toezichthouders die wordt gevormd door

leidinggevenden die uit hoofde van hun functie geacht worden erop toe te zien dat hun

medewerkers zich houden aan de regels en dus beveiligingsmaatregelen naleven. Deze groep is niet

altijd deskundig op het gebied van beveiliging, maar in hun toeziende activiteit zal van de kant van de

medewerkers een dergelijke deskundigheid toch worden verwacht.

In de tweede plaats zijn er de toezichthouders die als deskundige optreden op het gebied van

beveiliging. Het gaat hierbij om adviseurs, auditors, inspecteurs en anderen die als specialist

optreden. Zij zullen een professionele interesse voor maatregelen hebben en zullen deze

beoordelend bezien. Hun betrokkenheidmet maatregelen is daarom een andere dan die van de

andere onderscheiden groepen. Toezichthouders kunnen zowel intern als extern zijn ten opzichte

van het bedrijfsproces. Vaak wordt extern toezicht door een objectieve en onafhankelijke

beoordelaar door wetten voorgeschreven of door de leiding van de organisatie gewenst.

4.

Hoe kan een gewenst gedrag worden bereikt?

Antwoord: Bij een bewustwordingsprogramma wordt getracht invloed uit te oefenen op het gedrag

in de verwachting een gewenst gedrag te bereiken. Beseft moet worden dat het gedrag van

mensen niet zo eenvoudig benvloed kan worden. Via de lijn van kennis kan men proberen

duidelijk te maken waarom een bepaald gedrag gewenst is. De sociale omgeving kan als voorbeeld

dienen om het gedrag aan te passen, straffen kunnen dwang uitoefenen op mensen, maar of

hierdoor de houding verandert en leidt tot een aangepast en gewenst gedrag, blijft onzeker.

Hierdoor wordt duidelijk dat het voortdurend informeren van mensen en het betrekken van mensen

bij zaken als risicos en maatregelen,noodzakelijk is om iedereen op de zelfde lijn te krijgen en te

houden.


23/32

5. Waarom kan beveiliging door personeel succesvol zijn?

Antwoord:Het beveiligen doorhet personeel is een belangrijk element van risicomanagement en

wel tijdens de invoering en het gebruik van maatregelen. Zodra beveiligingsmaatregelen worden

ingevoerd, wordt een beroep gedaan op medewerkers om zich overeenkomstig deze maatregelen te

gedragen en daardoor bij te dragen aan een beperking van risicos. Personeelsleden wordendusgevraagd te participeren in het proces van risicomanagement. Daaraan zijn enkele belangrijke

aspecten verbonden. In de eerste plaats vormen de medewerkers de ogen en oren van de

organisatie. Zij kunnen gedurende het uitvoeren van hun werkzaamheden attent zijn op alles wat een

correcte uitvoering van het bedrijfsproces zou kunnen schaden. In de tweede plaats zullen de

medewerkers door hun betrokkenheid bij het bedrijfsproces in staat zijn de maatregelen goed uit te

voeren en na te leven. Daarbij kunnen gebreken of tekortkomingen blijken die, indien gemeld,

kunnen leiden tot een verbetering van de beveiliging en dus het beperken van de risicos. Om het

nuttig effect werkelijk te bereiken, kan een aantal voorwaarden worden genoemd. Daartoe behoren

natuurlijk kennis van de achtergrond en werkwijze van de maatregelen, middelen om de

maatregelen na te leven (daartoe behoort ook tijd) en de motivatie om aandacht te geven aan

dit onderdeel van het bedrijfsproces. In de derde plaats kunnen medewerkers in repressieve zin eenbijdrage leveren. Enerzijds door handelend op te treden bij een incident en anderzijds door anderen

erop aan te spreken zich te houden aan de beveiligingsregels.

6. Wat is de rol van sociale controle bij beveiliging?

Antwoord:De invloed die mensen op elkaar hebben in hun onderlinge contact is een hulpmiddel bij

het benvloeden van dat gedrag. Sociale controle is het effect dat dergelijk onderling contact heeft op

het gedrag. Daardoor is sociale controle een vorm van controle waarbij medewerkers blijk geven van

hun oplettendeaanwezigheid. Het is echter de vraag of sociale controle zich laat organiseren.

Het is een informeel, groepsgebonden verschijnsel waarvan we mogen betwijfelen of het

management er voor de beheersing van beveiligingsmaatregelen iets aan heeft. In ieder geval kan de

proceseigenaar er niet formeel een beroep op doen. Dat maakt sociale controle als instrument

ongeschikt, een voldoende waarborg kan het niet zijn. Tegelijkertijd is het wel plezierig als deze

spontaan functioneert in een organisatie.

7.

Wat is de rol van werkoverleg en taakomschrijvingen bij beveiliging?

Antwoord: Het werkoverleg is een goede gelegenheid om beveiliging aan de orde te stellen.

Juist om dat daar de dagelijkse uitvoering van de werkzaamheden worden besproken, zal beveiliging

daarin ter sprake kunnen worden gebracht. De jaarlijkse (of frequenter te houden) beoordelings- en

werkgesprekken lenen zich goed voor de evaluatie van het omgaan met beveiliging. Het gaat er

immers om een medewerker aan te spreken op zijn bijdrage aan de werkzaamheid van de

beveiligingsmaatregelen. De voor een functie gespecificeerde beveiligingseisen zijn op de functie

gericht en zullen dus als onderdeel van het werkoverleg moeten worden gevalueerd. Het naleven

van de maatregelen wordt op deze wijze beoordeeld maar ook de noodzakelijkheid van de eis, het

effect en de werkbaarheid van de maatregel.

8.

Welke dilemmas spelen een rol bij het beoordelen van medewerkers?

Antwoord:De elementen van een taak- en functiebeschrijving zijn bij de beoordeling van geleverde

prestaties de norm . Het is de vraag welke elementen in de uitvoering door de medewerker de

meeste aandacht krijgen. W at wordt door de baas op prijs gesteld? Welke elementen wegen voor de

baas het zwaarst (denkt de medewerker)? Wat zijn de afspraken over beveiliging? En hoe zwaar

tellen die mee in de beoordelingsgesprekken? Kortom, er zijn dilemmas bij het beoordelen

van het gedrag van medewerkers:

Participatie verkrijgen door bevelen is niet populair meer, er moet weliswaar een initiatief

zijn maar vervolgens moeten de medewerkers zelf aan de slag kunnen.


24/32

Afdwingen versus vrijwilligheid is een structuurvraag waarbij het belang van het

bedrijfsproces een rol speelt, maar ook de persoonlijke plaats van de medewerker.

De beschikbare tijd voor het vervullen van een taak is beperkt, waardoor een competitie

ontstaat m et andere belangen wat pleit voor het integreren en expliciet benoem en van

beveiligingstaken in de eigenlijke taak.

Delegatie van verantwoordelijkheid kan helpen de medewerker alert te houden maar daarhoort wel bij dat toezicht wordt gehouden.

9.

Welke vragen kunnen aan maatregelen worden gesteld als daarvan de compleetheid, de

werkbaarheid en dergelijke moeten worden beoordeeld?

Antwoord: 8.10 Bij de invoering van maatregelen kom t het erop aan vast te stellen dat een

noodzakelijke en werkbare verzameling maatregelen is bedacht en gerealiseerd. Dat kan natuurlijk

ook worden uitgesteld tot de evaluatie van de maatregelen, maar op het moment van invoering

komt ook steeds de vraag naar hetwaarom aan de orde. En daarbij hoort ook steeds de vraag naar

de effecten van andere maatregelen. Invoering van maatregelen kan daarom ook worden gezien als

een test op de toepasselijkheid en bruikbaarheid van de maatregel. Een soort acceptatietest die

door kritische vragen van de toekomstige gebruikers kan worden geconcretiseerd.

10.Hoe kan het stellen van vragen bijdragen aan de invoering van maatregelen?

Antwoord: 8.10 Bij de invoering van maatregelen kom t het erop aan vast te stellen dat een

noodzakelijke en werkbare verzameling maatregelen is bedacht en gerealiseerd. Dat kan natuurlijk

ook worden uitgesteld tot de evaluatie van de maatregelen, maar op het moment van invoering

komt ook steeds de vraag naar hetwaarom aan de orde. En daarbij hoort ook steeds de vraag naar

de effecten van andere maatregelen. Invoering van maatregelen kan daarom ook worden gezien als

een test op de toepasselijkheid en bruikbaarheid van de maatregel. Een soort acceptatietest die

door kritische vragen van de toekomstige gebruikers kan worden geconcretiseerd.


25/32

H9. Evaluatie

1. Waarom is het noodzakelijk om alle stappen van het proces van risicomanagement te evalueren?

Antwoord:Evalueren houdt meer in dan controle alleen. Beperkt controle zich tot het vergelijken van

de werkelijkheid met een norm , bij evalueren gaat het ook om het beheersen en continu verbeteren

van de maatregelen. Maar ook de stappen die aan het treffen van maatregelen zijn voorafgegaan(keuzes, overwegingen), zijn onderwerp van evaluatie. De wereld verandert immers voortdurend.

2. Waarom worden doelstellingen en beleid gevalueerd?

Antwoord: De doelstellingen en het beleid die aan de invoering van maatregelen ten grondslag

liggen, zullen worden gevalueerd om na te gaan of deze passend zijn voor het betreffende

bedrijfsproces. Na het initieel opzetten van een proces voor risicomanagement is dat een gebruikelijk

controleonderwerp. Vervolgens zal men periodiek moeten beoordelen of in de actuele situatie de

eerder gekozen prioriteiten nog steeds gelden. Bij de beoordeling daarvan zullen maatschappelijke

ontwikkelingen, veranderingen in de branche en de omgeving van het bedrijfsproces een rol spelen.

In de terminologie van de auditor gaat het hier om de opzet van de maatregelen. Hij zal zich over

die opzet een beeld vormen en rapporteren in hoeverre hij van oordeel is dat de opzet passend isvoor het bedrijfsproces waarvoor de maatregelen gelden. Hierbij spelen gewoonten en gebruiken in

de branche een rol, maar ook de veronderstelde relatie tussen de te beschermen processen en

middelen enerzijds en de doelen en het beleid ter beveiliging anderzijds. Te veel of te weinig

aandacht voor bepaalde aspecten of dreigingen

3. Welke vraag kan worden gesteld om de keuze van maatregelen te evalueren?

Antwoord: De keuze van maatregelen hangt nauw samen met prioriteiten. Veranderingen in de

prioriteiten kunnen dus ook leiden tot veranderingen in de keuze voor maatregelen. Een centrale

vraag die bij de evaluatie kan worden gesteld, luidt: vormen de maatregelen een consequent en

doeltreffend geheel dat past binnen het beleid? Evenwicht in de gemaakte keuze is daarbij een

belangrijk punt. Ook het proces dat leidt tot keuzes zal onderwerp van evaluatie moeten zijn. Ook op

dit punt zal de auditor vooral letten op de manier waarop de keuze tot stand is gekomen (opzet).

4.

Wat is de betekenis van een evaluatie van een projectmatig opgezette ontwerp, bouw of

invoering van maatregelen?

Antwoord:Evaluatie van projecten kan eenvoudig worden uitgevoerd door de rapportages en

documentatie te beoordelen. Ook kunnen interviews worden gehouden met projectdeelnemers. Dat

kan gebeuren aan het einde van een tijdelijk project, maar ook tussentijds. Vooral om dat een project

vaak een multidisciplinaire activiteit is waarbij niet alle betrokkenen het hele project meemaken, is

tussentijdse evaluatie nuttig. Een bijzondere vorm daarvan is de zogenaamde debriefing die volgt

op militaire acties. Hierbij worden vragen gesteld aan de betrokken militairen over wat zij hebben

gezien, gehoord, ervaren. Overigens is voor organisaties als beveiliging, brandweer en politie een

debriefing ook een normale actie volgend op een inzet.

5.

Wat is de kernvraag bij de evaluatie van bestaande maatregelen?

Antwoord:Het nut en de noodzaak van maatregelen wordt gevalueerd bij de keuze van

maatregelen. Daar gaat men na in hoeverre de reden om de maatregel in tevoeren (relatie met

risico) voldoende is onderbouwd en geldig is. Bestaande maatregelen behoeven daarnaast een

periodieke controle. Het doel dat met controleren wordt beoogd, is vast te stellen dat de

maatregelen inhoudelijk correct zijn en dat alle middelen, regels en andere voorwaarden voor het

functioneren daadwerkelijk aanwezig zijn. De kernvraag luidt hier dan ook: zijn de maatregelen

daadwerkelijk aanwezig op die plaatsen en in die situaties waarvoor ze zijn bedoeld? In de

terminologie van de auditor is dit het bestaanvan de maatregel. Een maatregel wordt getroffen

om een beoogd doel te bereiken (bijvoorbeeld de beperking van een risico) en de auditor zal willen

beoordelen of dat doel in voldoende mate kan worden bereikt.


26/32

6. Wat is de kernvraag bij de controle op naleving?

Antwoord:Maatregelen kunnen er zijn maar datwil nog niet zeggen dat ze ook worden toegepast

of werkzaam zijn. Daarom dient ook de correcte werking en het naleven ervan te worden

gecontroleerd. Een kernvraag is hier: worden de maatregelen nageleefd? Voor de auditor is dat de

controle op de werkingvan de maatregelen. De drie aspecten in de benadering van de auditor,opzet, bestaan en werking, zullen samen een bevredigend oordeel moeten krijgen. Als op een of

meer van de aspecten door de auditor aanmerkingen worden gemaakt, betekent dit dat de

proceseigenaar voor de rapportage naar betrokkenen wat heeft uit te leggen. Vanzelfsprekend zal de

auditor van de gelegenheid gebruikmaken suggesties te doen voor verbetering.

7.

Welke drie vorm en van controle kunnen worden onderscheiden?

Antwoord: Een controleplan wordt opgesteld om periodiek op een gestructureerde manier alle

noodzakelijke controles van maatregelen te kunnen uitvoeren. Doelstelling daarvan is de

maatregelen actueel te houden door de inhoud zowel op actualiteit als op uitvoerbaarheid te

toetsen. In het algemeen kunnen we drie vorm en van controle onderscheiden:

o

Verificatie, een controle op feitelijk, formeel bestaan van een maatregel.o Walk through, een oefening, een papieren exercitie, droog oefenen.

o Praktijktoets, een test in de praktijk op de werking van een maatregel.

8. Wat wordt door een verificatie vastgesteld?

Antwoord: Verificatie betreft een beoordeling van de feitelijke toestand van een maatregel.

Het gaat om een sterk objectieve actie, die de bedoelde status vergelijkt met de werkelijkheid.

Meestal is een vergelijking van documenten voldoende. Hierbij wordt bijvoorbeeld vastgesteld dat de

gegevens van een maatregel inhoudelijk correct zijn of dat een rapportage recent is uitgevoerd

(beoordeling actualiteit door vaststelling datum van uitvoering of wijziging). Niet alle maatregelen

kunnen door verificatie worden beoordeeld. Indien verificatie wordt uitgevoerd, moet men nagaan

of daarmee een voldoende controle is uitgevoerd. Vaak zal blijken dat een praktijktoets gewenst is

om afdoende te kunnen vaststellen dat de maatregel actueel en uitvoerbaar is.

9.

Wat wordt door een walk through vastgesteld?

Antwoord: Een walk through is een (meestal) theoretische bespreking van procedures enplannen

met het doel na te gaan of deze procedures en plannen in de praktijk kunnen functioneren. Het

verschil met een toets is dat de procedure of het plan niet daadwerkelijk wordt geoefend maar dat

de oefening op papier gebeurt.Er zijn maatregelen waarvoor een praktijktoets zich niet leent om

dat het provoceren van de dreiging waartegen de maatregel is gericht, oncontroleerbaar kan worden

of onacceptabele kosten mee zou brengen. Deze controlevorm is vooral geschikt voor maatregelen

die niet goed kunnen worden getest in een praktijksituatie. Vooral in de sfeer van noodplannen en

calamiteitenplannen komt dat veel voor.

10.Wat wordt door een praktijktoets vastgesteld?

Antwoord: In een praktijktoets wordt beoordeeld of een maatregel in de praktijk werkt. De

praktijktoets kan in veel situaties worden toegepast. Zo kan de naleving van maatregelen door

medewerkers worden getoetst door waarneming. De werking van apparatuur, bijvoorbeeld

blusinstallaties, kan worden getest door een proefblussing te doen maar ook door onderdelen van

het blussysteem te testen. Voor het toetsen van plannen is een simulatie van (een deel van) het plan

noodzakelijk. Er wordt dan gespeeld dat een calamiteit is opgetreden.Een voorbeeld daarvan is de

ontruimingsoefening van gebouwen en de sloepenrollen die worden gehouden aan boord van

schepen. In de luchtvaart is een praktijktoets nooit ingevoerd voor de passagiers. Deze moeten het

doen met instructies die vlak voor de vlucht worden verstrekt. Het vliegend personeel wordt wel

tijdens de opleiding getraind in vluchtveiligheid en ontruimingsoefeningen.


27/32

11.Wat is de taak van een beoordelaar?

Antwoord: Een beoordelaar (auditor, inspecteur) kan niet alleen de maatregelen zelf beoordelen

maar ook het proces van het tot stand kom en van de maatregelen. Dat laatste kan van belang zijn

als de objectiviteit en onafhankelijkheid voor het selecteren, ontwerpen, bouwen en invoeren van

maatregelen belangrijk is. Omdat interne belangen van het bedrijfsproces van invloed kunnen zijn op

het gevolgde proces van risicomanagement, wordt bij de beoordeling vaak gebruikgemaakt vanexterne onafhankelijke beoordelaars.


28/32

H10. Organisatie van risicomanagement

1. Wat wordt mogelijk als het proces van risicomanagement wordt ingebed in de bedrijfsvoering?

Antwoord: Als nieuwe risicos ontstaan, is het prettig als er een infrastructuur is die kanworden

gebruikt om de nieuwe risicos te beoordelen, te bedenken wat er tegente doen valt en vervolgens

maatregelen te treffen en deze in stand te houden. Het proces van risicomanagement is een

dergelijke infrastructuur. Inbedding van dit proces in de bedrijfsvoering, maakt het mogelijk om alertte reageren op veranderingen in technologie of marktomstandigheden en nieuwe risicosdie

ontstaan door maatschappelijke ontwikkelingen.

2. Hoe ontstaat risicomanagement vaak in organisaties?

Antwoord: Het begin van risicomanagement ligt vaak in twijfel. De proceseigenaar heeft weliswaar

zijn zaken voor elkaar, maar je weet maar nooit. Gebeurtenissen in de omgeving, in de media, vragen

van toezichthouders, maatschappelijke ontwikkelingen (zoals corporate governance) kunnen leiden

tot vragen over het eigen bedrijfsproces. Zijn wij voldoende voorbereid op een incident?

Kunnen wij een tekort van een voorziening of een plotseling optredend probleem wel aan? Kunnen

wij onder alle omstandigheden onze verplichtingen of toezeggingen waarmaken?

3.

In welk voorbeeld van opdrachten op het gebied van risicomanagement heeft de opdrachtgever

uiteindelijk geen zin in risicomanagement?

Antwoord: Projectactiviteit: De analyse levert een groot aantal risicos op dat de organisatiekan

treffen. Voor de bedrijfsvoering zijn risicos potentile kosten, maar het treffen van maatregelen kost

ook geld. De cultuur van de organisatie is er een van liever reageren op incidenten dan anticiperen.

De kosten van de sprinklerinstallatie kunnen na de risicoanalyse goed worden afgezet tegen de\

risicos van brand. Maar er zijn nog andere risicos die investeringen vragen. Hetmanagement stelt

de beslissing nog maar even uit. De verzekeringsmanager gaat ergens anders werken. Hij is

teleurgesteld in het management dat hem te weinig mogelijkheid biedt risicomanagement als een

serieus aspect van de bedrijfsvoering verder te ontwikkelen.

4.

Uit welke onderdelen bestaat de balanced scorecard van het risicoprofiel?

Antwoord: In afb. 1 geven we een voorbeeld van een dergelijke balanced scorecard waarbij we vier

gebieden onderscheiden die samen het risicoprofiel van het bedrijfsproces bepalen.


29/32

5. Leg uit wat de functie is van een risicoprofiel.

Antwoord: Het risicoprotocol is door het bedrijf opgesteld naar aanleiding van zorgen om de

geheimhouding van zowel informatie als details van de bedrijfsvoering. Er is een risicoanalyse

uitgevoerd op de mogelijke uitbesteding van de plantendienst aan een extern bedrijf. Een van de

risicos is het ongeautoriseerd toegang verkrijgen tot informatie van het bedrijf. Alle dreigingen die

gerelateerd zijn aan het operationele proces leveren geen relevante risicos op. Zij wordengeachtacceptabel te zijn. De dreiging dat de plantendienst een wanprestatie levert waardoor het bedrijf het

imago van verwaarlozing van planten krijgt, wordt niet groot geacht en is daarom ook acceptabel.

Om de dienstverlener scherp te houden, wordt het contract voor een jaar aangegaan met een optie

voor verlenging.

6.

Leg uit hoe maatregelen en controle zijn geregeld in het risicoprotocol.

Antwoord:Daarom wordt besloten tot de volgende interne maatregelen:

De plantendienst treedt op tijdens de normale werktijden.

De medewerkers worden op de hoogte gesteld van het optreden van de plantendienst.

Tijdig voor het optreden van de dienst worden de medewerkers daarover genformeerd.

Medewerkers worden geacht toezicht te houden op het verblijf van de plantendienst in hunkantoor.

Tijdens het verblijf van de plantendienst mogen de medewerkers hun kantoren slechts

verlaten als aan de regels van clear desk en clear screen is voldaan.

Kantoren waarvan de bewoners niet aanwezig zijn, kunnen door de plantendienst vrijelijk

worden bezocht om dat wordt aangenomen dat de betreffende medewerkers volgens de

regels geen vertrouwelijk zaken onbeheerd hebben achtergelaten.

Voor drie kritische afdelingen wordt bepaald dat het secretariaat zorgt voor toezicht tijdens

de werkzaamheden van de plantendienst.

De incidentenregeling (definitie van het begrip incident, procedure voor melding, registratie

en rapportage) wordt op de nieuwe situatie aangepast door de security manager.

Tevens vraagt men aan de dienstverlener periodiek een onafhankelijke beoordeling te laten maken

van de naleving van de door haar voorgestelde regelingen. Het controleplan voor de periodieke

beoordeling van de interne en externe regelingen bevat de volgende acties:

Rapportage door bewakingsdienst van het bedrijf (dagelijks).

Beoordeling van deze rapportages door de security officer (wekelijks).

Overleg met dienstverlener (facilitair manager, maandelijks).

Overleg met afdelingsleiding (security officer, maandelijks).

Maandelijks overleggen de security en facility manager en rapporteren over de procedure en

hun bevindingen aan de bedrijfsleiding.

7.

Leg uit hoe men tot een extern oordeel komt.Antwoord: Operationeel staat de kwaliteit van de dienstverlening voorop. Dat is voor dit contract

geen bijzondere vaststelling, dat geldt altijd voor de diensten die de plantendienst verleent.

Datzelfde geldt voor de betrouwbaarheid van de medewerkers van de plantendienst.

Betrouwbaarheid staat hoog in het vaandel en komt tot uiting in de gewoonte personeel zorgvuldig

te selecteren en daarbij niet alleen te kijken naar vakbekwaamheid. In dit geval echter is het gedrag

van de medewerker bij het bedrij