Ansatte – en hel risiko i seg selv

(Denne fagartikkelen står på trykk i Aktuell Sikkerhet 01-2016 og er skrevet av seniorrådgiver Thomas Haneborg i Næringslivets Sikkerhetsråd (NSR). NSR bidrar med en fagartikkel i hver papirutgave av magasinet.)

Ansatte skal vurderes som en verdi i en sikringsrisikoanalyse, men sett i ett analyseperspektiv må noen vurderes høyere eller lavere enn andre basert på kunnskap, erfaring, oppgaver og tilgang. Ofte ser man også ansatte som en sårbarhet, i den forstand at en trusselaktør kan påvirke den ansatte til å gjennomføre handlinger bevisst eller ubevisst. Like ofte er den ansatte også definert som en potensiell trusselaktør som ønsker å påvirke en virksomhets verdier negativt.

– Kan en ansatt både være en verdi, en trussel og en sårbarhet?

– Svaret er dessverre ja.

Med dette som utgangspunkt blir ikke nødvendigvis en sikringsrisikoanalyse enklere for den som skal gjennomføre den. Hva gjør en ansatt til en verdi, hvorfor er vedkommende en sårbarhet og når blir han eller hun en trussel?

Verdien av ett menneske

Den menneskelige verdien kan man selvfølgelig ikke komme bort ifra, det er også lovbestemt at den skal beskyttes! Ett hvert menneske skal altså beskyttes mot uønskede hendelser, graden av ytterligere beskyttelse avhenger av hvilken kompetanse og erfaring vedkommende besitter og hvilken funksjon vedkommende utfører.

Kompetanse og erfaring

Kompetansen til den ansatte kan måles på flere måter. Formalkompetanse i form av utdannelse, og den erfaringen en har opparbeidet seg over tid. Kompetanseverdien kan for eksempel måles i virksomhetens behov for spesialistkompetanse, jo færre som innehar en spesifikk utdannelse jo lengre tid vil det ta å dekke virksomhetens behov hvis den ansatte skulle bli borte.

Menneske vs. funksjon

Behovet for å få definert forskjellen på den ansatte som ett menneske og stillingen som en funksjon er viktig for en analyse.

En funksjon må sees på som en eller flere understøttende oppgaver som må gjennomføres for at virksomheten skal kunne nå sine mål, og ett menneske er en som benytter sin kompetanse og erfaring til å utføre funksjonen.

Verdien av en funksjon

Kan man sette likhetstegn mellom kompleksitet og verdi? Er det slik at jo mer kompleks en funksjon er jo høyere verdi har funksjonen for virksomheten, og øker dette proporsjonalt med krav om høyere kompetanse og erfaring? Dette er grunnleggende spørsmål som bør stilles for enhver stilling i en virksomhet. I tillegg til dette vil spørsmål angående funksjonens behov for tilgang til andre verdier som informasjon, objekter, personell mv. kunne definere funksjonens verdi.

Kinderegget

Jo mer en ansatt besitter av tilganger, og spesiell kompetanse og erfaring som ikke lar seg raskt erstatte, for å betjene er funksjon som er avgjørende for virksomheten, jo større verdi har vedkommende. Det er de samme faktorene som gjør den ansatte til en sårbarhet. Tilgang til store mengder verdier vil gjøre den ansatte mer attraktiv for påvirkning fra en trusselaktør, samt at sykdom, død eller overgang til konkurrerende virksomhet kan bidra til reduksjon eller stans i produksjon i en uakseptabel tidsperiode. Hva som driver den ansatte til å bli en innsidetrussel kan være så mangt, men plassering i en viktig funksjon og tilganger vil gjøre at verdiene påvirkes i større eller mindre grad.

Ansatte som scenario

En sikringsrisikoanalyse omfatter scenariobaserte ”tester” av en trusselaktørs muligheter til å påvirke virksomhetens verdier negativ gjennom de identifiserte sårbarhetene. Det er i disse scenariobaserte ”testene” at de ansatte, og ikke minst funksjonene, må vurderes opp imot.

Tiltak basert på sikringsrisikoanalysen

På bakgrunn av de valgte scenario i sikringsrisikovurderingen vil man i analysen kunne anbefale tiltak som reduserer de identifiserte sårbarhetene. Det er ikke mulig å anbefale tiltak uten en analyse, men risikoreduserende tiltak omhandler alle de tre vurderingskriteriene. Kan man spre verdier, ha redundante løsninger, senke krav til kompetanse og erfaring, bevisstgjøring og opplæring, øvelser, teknologiske tiltak eller tettere oppfølging av ansatte, tiltakene kan være mange og vil variere fra virksomhet til virksomhet. Det avgjørende er at analysen gir anbefalinger om tiltak som reduserer din risiko, og øker den ansattes trygghet, når det kommer til den ansattes livsløp i din virksomhet.

Ta med ansatte i den helhetlige sikringsrisikoanalysen.

Dine ansatte er en verdi, men kan de også være din største sårbarhet eller din verste fiende. Har du råd til ikke å ha tenkt tankene før du ansetter…?