من العناصر الأساسية لإدارة مخاطر الأمن ضمان مراجعة السياسات والخطط والإجراءات وتقييمها بانتظام لقياس مدى الامتثال والفعالية والأثر على مستوى المؤسسة ككل وعلى مستوى كل موقع. يناقش هذا الفصل آليات مراقبة إدارة مخاطر الأمن.
ينبغي أن تكون آليات المراقبة قابلة للتكيف والتوسع، ومُصممة خصيصًا لمستويات المخاطر، لتجنب أي أعباء أو عوائق بيروقراطية غير ضرورية أمام البرمجة. ومن خلال إعطاء الأولوية للفعالية على مجرد الامتثال، يمكن لجهود المراقبة أن تُسهم في مواءمة التدابير الأمنية مع أهداف البرامج.
.يمكن تقسيم جهود الرصد إلى ثلاثة مجالات مترابطة (ومتداخلة في بعض الأحيان)
الهدف الرئيسي من مراقبة الامتثال هو فهم أسباب عدم الامتثال، وليس معاقبة الموظفين. قد يكون السبب هو عدم اتباع الإجراءات لأنها غير واقعية أو غير مناسبة للسياق. كما يمكن أن يكشف عدم الامتثال عن تحديات، مثل نقص الموارد، والانطباعات السلبية عن ممارسات الأمن بين الموظفين، والفجوات المعرفية. يمكن أن يساعد هذا النوع من المراقبة في تحديد الفجوات والتحديات التي تحتاج إلى معالجة، بما في ذلك التدريب والتوجيه والدعم أو غيرها من أنشطة بناء ثقافة أمنية إيجابية.
لمراقبة الفعالية، تُجري المزيد من المؤسسات عمليات تدقيق ومراجعات واستشارات أمنية. ويمكن استخدام هذه التقييمات لتقييم “سلامة” أنظمة الأمن ووعي الموظفين وفهمهم لتدابير الأمن وموارده. تتيح هذه التقييمات للموظفين فرصةً لتسليط الضوء على المخاطر أو التحديات الأمنية التي يواجهونها في حياتهم وعملهم، والتي قد لا تُراعى بشكل كافٍ في إطار تدابير الأمن الحالية.
التدقيق الأمني هو تقييم رسمي يركز على الامتثال لسياسات وإجراءات وممارسات المؤسسة الأمنية، مقارنةً بالمتطلبات والمؤشرات التنظيمية المعمول بها. يمكن استخدام عمليات التدقيق الأمني، وخاصةً تلك الخاصة بالموقع، للتحقق من تطبيق تدابير التخفيف المحددة في تقييم المخاطر وخطة الأمن، وتقييم مدى اتباع السياسات والإجراءات. كما تستفيد المؤسسات من تضمين مؤشرات القبول في عمليات التدقيق الأمني الخاصة بها. يختلف شكل التدقيق الأمني، ومدى انتظام إجرائه، ومن يُجريه، ومدى تعمقه من مؤسسة لأخرى.
تُجري بعض المنظمات أيضًا مراجعات شاملة أو تنظيمية لأنظمة ومنهجيات الأمن، وهي تقييمات رسمية تستند إلى شروط مرجعية محددة. وغالبًا ما تتجاوز هذه التقييمات مجرد تقييم المعايير أو المتطلبات الداخلية. كما أصبحت المشاورات غير الرسمية مع الموظفين بشأن التحديات ونقاط الضعف شائعة بشكل متزايد في قطاع المساعدات. وغالبًا ما تتبع هذه المشاورات شكاوى أو تقارير عن سوء سلوك أو إهمال، وقد تتعلق بقضايا مثل العنصرية والاستغلال والاعتداء الجنسي والتحرش والتنمر.
يُعَدّ تقييم تأثير تدابير إدارة مخاطر الأمن مهمة صعبة، ولذلك يظل نادر الحدوث في هذا القطاع. ومع ذلك، يمكن أن يوفر هذا التقييم رؤى قيّمة حول ما إذا كان التدخل قد ساهم في إحداث تغييرات ملموسة، مثل إيجاد بيئة عمل أكثر أمانًا. ويمكن تطبيق نهج نظرية التغيير لرسم النتائج المرجوة على المدى الطويل والخطوات اللازمة لتحقيقها. كما يمكن أن تدعم الأدلة المستقاة من آليات الرصد التي نوقشت في هذا الفصل هذه العملية. وينبغي أن يهدف هذا التقييم إلى إنتاج سرد مقنع يستند إلى الأدلة حول التأثير، ويمكن أن يسترشد بأسئلة مثل:
وأخيرًا، يُستخدَم بشكل متزايد لوحات المعلومات الرقمية لعرض البيانات الآنية، بما في ذلك مستويات الأمان، وتتبع الحوادث، ومراقبة الامتثال. وتُحسِّن هذه الأدوات عملية اتخاذ القرارات من خلال تمكين الإجراءات التصحيحية السريعة، وتبسيط وتشجيع عملية الإبلاغ، وتحديد الثغرات لتحديد أولويات التمويل والدعم.
Bickley, S. (2017) Security risk management: A basic guide for smaller NGOs. EISF.
Finucane, C. (2013) Security audits. EISF.
The Swiss Centre of Competence for International Cooperation (CINFO). (n.d.). Duty of care maturity model.
