Laat ik het nou eens -niet- hebben over wat iedereen verstaat onder ‘Toezicht en Handhaving’, namelijk: onder ’toezicht’ verstaan we het uitvoeren van controle ter voorkoming van overtredingen en het naleven van voorschriften uit vergunningen of regelgeving. Onder ‘handhaving’ wordt verstaan het herstellen en eventueel bestraffen van het niet naleven van voorschriften uit vergunningen of regelgeving.
Hierbij denken wij toch vaak alleen aan wat er zich afspeelt in het publieke domein. Maar als wij even wat abstracter de definitie toepassen, dan zou je ook de controle op de juiste uitvoering van interne ‘beveiligings- en veiligheidsmaatregelen’ toezicht en handhaving kunnen noemen. Want wat zijn deze belangrijke maatregelen waard als er niet op gecontroleerd wordt? Of als er bij overtreding niet gesanctioneerd kan worden. Niets!
Als een organisatie al, als het gaat om het managen van securityrisico’s, vanuit de PDCA-cyclus werkt, dan blijkt in de praktijk heel vaak, dat de -C- van CHECK onvoldoende of in het geheel niet wordt ingevuld. “Wij werken hier op basis van vertrouwen” of “Wij kennen elkaar goed en de cultuur is die van een familie”, hoor ik heel vaak als ik vraag of er ook gecontroleerd wordt op de werking van de afgesproken beveiligingsmaatregelen.
Controle van de procedures vinden wij vaak lastig
Wij hebben procedures over van alles, maar controle (of noem het: audits) vinden wij vaak lastig. Maar je kunt controle ook zien als een recht van de werknemers van de organisatie. Voortkomend uit zorg voor het welzijn van de collega’s en het voortbestaan van het werk. Immers die regels zijn er om risico’s te reduceren. En die risico’s zijn meestal reële risico’s. Als wij dan de regels c.q. afspraken niet controleren, lijden de goedwillenden uiteindelijk toch onder ‘de kwaden’. Want de continuïteit van de organisatie wordt dan niet gewaarborgd.
Alles is beter dan niets doen
Hierbij hebben wij het niet alleen over de grootste en meest impact hebbende zaken die zich kunnen voordoen binnen organisaties. Denk aan corruptie, seksuele intimidatie en soortgelijke vervelende zaken, maar ook over het niet melden van fraudesignalen of geweldsincidenten, of het niet houden aan autorisaties etc. Uit onderzoek blijkt dat leidinggevenden (die ook vaak worden ingezet voor de controle van hun medewerkers) moeite hebben om dit op een juiste (en onbevooroordeelde) wijze te doen. Ook zegt men het lastig te vinden om mondige collega’s te corrigeren. Ik zie dat als iets wat je kunt oefenen. Misschien eerst begeleidt door een ervaren collega. Uiteindelijk is alles beter dan niets doen.
En tot slot: handhaving is ook repressie. Bij verdenkingen van overtreding van regels, het doen van onderzoek daarna, maar ook het sanctioneren conform de daarover gemaakte afspraken. Ervaring leert dat inzet van repressieve maatregelen eerder uitzondering dan regel is. En heel vaak komt het voor dat een maatregel of afspraak wel is uitgewerkt in een procedure, maar dat daarin controle en, nog erger, de sanctie niet is vastgesteld. Wil je effectief kunnen beveiligen dan hoor je daarop toe te zien, maar ook de afspraken door enige vorm van sanctionering te handhaven. Wie A zegt moet in ‘securityland’ ook B zeggen. Of te wel: Handhaven door Toezicht!
Richard B. Franken is directeur van Franken Security Solutions. Daarvoor was hij directeur bij van Aetsveld, The Hague Security Delta, Trigion en Hoffmann bedrijfsrecherche.
Meer blogs van Richard Franken
Volg Security Management op LinkedIn
;