Schoemakerstraat 97 Postbus 6041 2600 JA Delft
TNO-rapport 2005-24
Supply chain security PROTECT WP4 eindrapport 2005 Deliverable 4.5
Datum
23 december 2005
Auteur
Ir. J.F.F. Becker (TNO Mobiliteit en Logistiek) Dr. T.M. Verduijn (TNO Mobiliteit en Logistiek)
Bijdragen van
Erasmus Universiteit Rotterdam Buck Consultants International NDL TLN EVO Douane/Belastingdienst Havenbedrijf Rotterdam NV
Plaats Aantal pagina’s
Delft 94
Projectnaam Notitie nummer ISBN nummer
PROTECT 05-7N-318-75018
Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd en/of openbaar gemaakt door middel van druk, foto-kopie, microfilm of op welke andere wijze dan ook, zonder voorafgaande toestemming van TNO. © 2005 TNO
www.tno.nl T 015 269 68 61 F 015 269 68 54
[email protected]
PROTECT 2005
2 / 94
Voorwoord Het doel van het Transumo (Transition Sustainable Mobility)-project PROTECT is de ontwikkeling van strategieën voor logistieke beveiliging van internationale ketens waarin Nederlandse partijen een belangrijke rol spelen. Participanten in PROTECT zijn de Erasmus Universiteit Rotterdam (EUR), het Havenbedrijf Rotterdam NV, Buck Consultants International, de Douane, EVO, Nederland Distributieland (NDL), TLN en TNO. Dit rapport is de eindrapportage van de onderzoeksresultaten die in werkpakket 4 van PROTECT in 2005 behaald zijn. Het geeft een samenvatting van de resultaten van alle taken in dit werkpakket. Dit betekent dat alle consortiumpartners een substantiële bijdrage geleverd hebben aan de inhoud van dit rapport. Een gedetailleerde beschrijving van de resultaten van elke taak is te vinden in de afzonderlijke rapportage. Bijlage 3 geeft een overzicht van alle rapportages van dit werkpakket.
PROTECT 2005
3 / 94
Inhoudsopgave Voorwoord .......................................................................................................................................2 1 1.1 1.2 1.3
PROTECT eindresultaten: werkpakket 4 ...................................................................6 Inleiding ...........................................................................................................................6 Structuur van werkpakket 4..............................................................................................6 Structuur eindrapport WP 4..............................................................................................7
2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 2.12
Theorie: beveiliging in internationale goederenketens ...............................................8 Behoefte aan beveiliging in de logistiek ..........................................................................8 Mondiaal goederentransport.............................................................................................8 Ketenstructuren ................................................................................................................9 Logistiek lagenmodel voor mondiaal transport..............................................................10 Beveiliging als bedrijfsstrategie .....................................................................................11 Logistieke risico’s ..........................................................................................................11 Definitie ‘beveiligde logistieke keten’ ...........................................................................12 Beveiligingsrisico’s in de logistieke keten.....................................................................14 Verantwoordelijkheden in ketenbeveiliging ..................................................................15 Logistieke betrouwbaarheid centraal in ketenbeveiliging ..............................................16 Vermindering van logistieke kwetsbaarheid: Extended failure mode approach ............17 Raamwerk voor logistieke beveiliging...........................................................................18
3 3.1 3.2 3.3
Marktontwikkeling: beveiliging door samenwerkingsprogramma’s ......................21 Behoefte aan overzicht over beveiligingsinitiatieven.....................................................21 Relevante initiatieven en ontwikkelingen ......................................................................21 Beveiligingsmaatregelen in de keten..............................................................................25
4 4.1 4.2 4.2.1 4.2.2 4.2.3 4.3 4.4 4.5 4.6 4.7
Marktontwikkeling: beveiliging door IT tools...........................................................28 Inleiding .........................................................................................................................28 Toepassingsmogelijkheden IT in beveiliging.................................................................28 Lokale beveiliging versus ketenbeveiliging.............................................................28 Monitoring van ketenbeveiliging..............................................................................28 Beheersbaarheid dankzij control loops .....................................................................29 Overzicht van IT ............................................................................................................29 Integratie van technologieën in beveiligingsinitiatieven ................................................31 Ontwikkeling in IT voor supply chain security..............................................................32 IT bijdrage aan efficiëntie ..............................................................................................33 Conclusie........................................................................................................................34
5 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.3 5.3.1
Praktijk: Wat verwacht Logistiek Nederland? .........................................................36 Inleiding .........................................................................................................................36 PROTECT Enquête 2005 ...............................................................................................36 Respondenten............................................................................................................36 Terrorisme versus criminaliteit .................................................................................38 Is beveiliging een kritische concurrentiefactor? .......................................................39 Beveiligingsmaatregelen...........................................................................................40 Voor- en nadelen van beveiligingsmaatregelen ........................................................42 Beveiligingskosten....................................................................................................45 Discussiemiddag SCM Netwerkbijeenkomst.................................................................47 Dhr. Noordegraaf (Shell) - Security in de Logistieke keten .....................................47
PROTECT 2005
4 / 94
5.3.2 5.3.3
Dhr. Clauwaert (ABX Logistics) - Passionate about logistics & security ................49 Algemene bevindingen van de discussiemiddag ......................................................51
6 6.1 6.2 6.2.1 6.2.2 6.2.3 6.2.4 6.3 6.3.1 6.3.2 6.3.3 6.3.4 6.4 6.4.1 6.4.2 6.4.3 6.4.4 6.5 6.5.1 6.5.2
Case studies...................................................................................................................53 Introductie ......................................................................................................................53 Zeecontainerexport van Europa naar de Verenigde Staten ............................................53 Actuele grondvorm ...................................................................................................53 Actuele security ........................................................................................................54 Security behoefte ......................................................................................................58 Beveiliging in de logistiek ........................................................................................59 Intra-Europees Ro-Ro transport tussen Nederland en het Verenigd Koninkrijk ............60 Actuele grondvorm ...................................................................................................60 Actuele security ........................................................................................................61 Security behoefte ......................................................................................................63 Beveiliging in de logistiek ........................................................................................64 Luchtcontainertransport van Europa naar de Verenigde Staten .....................................64 Actuele grondvorm ...................................................................................................64 Actuele security ........................................................................................................66 Security behoefte ......................................................................................................72 Beveiliging in de logistiek ........................................................................................73 Lege containers ..............................................................................................................74 Actuele security ........................................................................................................74 Security behoefte ......................................................................................................75
7 7.1 7.2 7.2.1 7.2.2 7.3 7.3.1 7.3.2 7.3.3 7.3.4 7.4 7.4.1 7.4.2 7.4.3 7.4.4 7.4.5 7.4.6 7.5
Conclusie en aanbevelingen.........................................................................................77 Vraag en aanbod naar supply chain security ..................................................................77 Aanbodkant ....................................................................................................................77 Komende wet- en regelgeving en standaarden .........................................................77 Techniek ondersteunt beveiliging .............................................................................79 Vraagkant .......................................................................................................................79 Beveiliging is een kwaliteitsaspect ...........................................................................79 Visie ketenbeveiliging ..............................................................................................80 Beveiliging bestaat uit procedures ............................................................................82 Organisationele maturiteit bepaalt benodigde investeringen ....................................82 Stappenplan voor supply chain beveiliging....................................................................82 Stap 1: Bewustwording.............................................................................................83 Stap 2: Definitie beveiligingsmissie .........................................................................83 Stap 3: Afweging van maatregelen ...........................................................................84 Stap 4: Opstellen bedrijfsbeveiligingplan .................................................................84 Stap 5: Implementatie en evaluatie ...........................................................................85 Tot slot ......................................................................................................................86 Aanbevelingen voor onderzoek naar ketenbeveiliging in 2006 .....................................86
Referenties......................................................................................................................................88 Bijlage 1: Overzicht beveiligingsinitiatieven...............................................................................90 Bijlage 2: Afkortingen...................................................................................................................91 Bijlage 3: Deliverables werkpakket 4 ..........................................................................................92
PROTECT 2005
5 / 94
Bijlage 4: Publicaties werkpakket 4.............................................................................................93 Bijlage 5: Legenda supply chain architecture.............................................................................94
6 / 94
PROTECT 2005
1
PROTECT eindresultaten: werkpakket 4
1.1
Inleiding Werkpakket 4 richt zich primair op de beveiliging van wereldwijde logistieke ketens (‘global supply chains’ ) waarbij logistieke diensten (in de ruimste zin van het woord) ook op Nederlands grondgebied plaatsvinden. Doelstelling van werkpakket 4 is tweeledig. Enerzijds heeft werkpakket 4 tot doel om praktische instrumenten te ontwikkelen om – middels samenwerking en IT – de veiligheid in logistieke ketens te waarborgen. Anderzijds heeft dit werkpakket tot doel om een tool of methode te ontwikkelen om betrouwbaarheidsrisico’ s te minimaliseren in wereldwijde logistieke ketens.
1.2
Structuur van werkpakket 4 Werkpakket 4 is opgedeeld in 5 taken en is gericht op zowel de aanbodkant als de vraagkant van supply chain security. Dit geeft onderstaand figuur weer.
Aanbod van supply chain security
Vraag naar supply chain security
Theorie
Praktijk
Figuur 1: Structuur van werkpakket 4
Het werkpakket start met een quick-scan (taak 4.1). Deze taak zet een raamwerk neer waarin wordt uitgewerkt hoe wereldwijde logistieke ketens in elkaar zitten, welke beveiligingsrisico’ s en preventieve maatregelen men waar in de keten kan nemen, en welke verbanden er tussen ketenstructuren en veiligheidsrisico’ s en maatregelen bestaan. Voorts onderzoekt een enquête (taak 4.3) bij ketenpartijen (d.w.z. verladers, logistieke dienstverleners, douane en anderen) welke vragen precies in het bedrijfsleven spelen op het gebied van security in wereldwijde logistieke ketens. Deze vraagarticulatie geeft de eerste aanzet voor het diepgaande vervolgonderzoek. Het overgrote deel van het onderzoek vindt plaats in taak 4.2. Deze taak bestaat uit twee delen. Dit betreft studie naar (1) de aanbodkant en (2) case studies die lering moeten trekking van ervaringen en de actuele situatie in logistieke ketens. Hiermee geven de case studies meer inzicht in de vraag naar en aanbod van logistieke security maatregelen. Vanuit de aanbodkant identificeert subtaak 4.2.1 de verplichte en vrijwillige mogelijkheden voor samenwerking in de keten om de keten veiliger te maken.
PROTECT 2005
7 / 94
Aangezien IT tools een apart middel zijn om samenwerking te concretiseren, bestudeert subtaak 4.2.2 dit onderwerp afzonderlijk. Case studies (subtaak 4.2.3) geven voor zowel de vraag- als aanbodkant de praktische kennis uit concrete logistieke ketens. Ten slotte voert subtaak 4.2.4 onderzoek naar het gevolg van standaardisatie in logistieke beveiliging. Hiervoor zijn werkbijeenkomsten binnen ISO en CEN gevolgd en de resultaten ervan verspreid in het PROTECT consortium. Integratie van de resultaten van het onderzoek naar vraag en aanbod vindt plaats in subtaak 4.4. Dit wordt geconcretiseerd door een vertaling te maken naar de betrouwbaarheid van logistieke ketens (d.w.z. wat de gevoeligheid is voor onverwachte logistieke storingen in geval van bijvoorbeeld een aanslag). Deze vertaling levert een toevoeging van het theoretische raamwerk en een aanzet voor een methode. Deze methode – die in 2006 nader uitgewerkt kan worden - kunnen bedrijven gebruiken om op basis van hun ketenstructuur en de hieraan gerelateerde security risico’ s te bepalen welke maatregelen gezamenlijk in de keten genomen kunnen worden om de keten (meer) betrouwbaar te maken. Ten slotte rond deze rapportage (subtaak 4.5) het werkpakket af. 1.3
Structuur eindrapport WP 4 Dit rapport geeft een samenvatting van meerdere eindresultaten van werkpakket 4. Bijlage 3 biedt een overzicht van alle rapportages binnen dit werkpakket. Voor een heldere structuur is gekozen om deze eindrapportage in verschillende delen op te splitsen: A. Theorie: Hoofdstuk 2: beveiliging in internationale goederenketens B. Marktontwikkeling: Hoofdstuk 3: Beveiliging door samenwerkingsprogramma’ s Hoofdstuk 4: Beveiliging door IT tools C. Praktijk: Hoofdstuk 5: Wat verwacht Logistiek Nederland? Hoofdstuk 6: Case studies D. Conclusies en aanbevelingen Hoofdstuk 9: Conclusies en aanbevelingen
PROTECT 2005
2
Theorie: beveiliging in internationale goederenketens
2.1
Behoefte aan beveiliging in de logistiek
8 / 94
Al meer dan vier jaar is beveiliging in transport en logistiek een belangrijk thema voor overheden en bedrijfsleven in Nederland en buitenland. Met de aanslagen in New York, Madrid en Londen heeft men de afgelopen paar jaar kunnen constateren dat terrorisme een wereldwijd probleem is geworden. De aanslagen tonen dat onze maatschappij kwetsbaar is. Terrorisme richt zich vandaag de dag vooral op het creëren van zoveel mogelijk slachtoffers. Omdat de wapens hiervoor vervoerd moeten worden en zowel transportvoertuigen als lading ook een wapen kunnen zijn, is het nodig om transport te beveiligen. Voor personenvervoer heeft men daarom bagagecontroles verscherpt. Maar terroristen kunnen ook goederenketens misbruiken om wapens te smokkelen. Logistiek stuurt de goederenstromen aan en daarom is er een maatschappelijke behoefte aan logistieke beveiliging. Anderzijds is er een bedrijfskundig behoefte aan beveiliging in de logistiek. Transportbeveiliging is allereerst nodig vanwege criminaliteit. Maar in het kader van terrorisme ondervinden verladers en dienstverleners in hun transportactiviteiten ook dat de overheid extra beveiligingsmaatregelen neemt. Meer controleplaatsen en een hoger risico op controles per plaats leiden tot een lagere logistieke betrouwbaarheid. Daarnaast bestaat er het risico dat terroristen infrastructuur of goederenstromen materieel (voertuigen of ladingdragers) onderweg aanvallen of voor een aanval gebruiken. De kwetsbaarheid van de infrastructuur en van goederenstromen is gelegen in het feit dat deze openbaar gesitueerd en zeer dynamisch zijn, waardoor waterdichte beveiliging onmogelijk blijkt. Een aanval zal sterk het betrouwbare imago van een bedrijf beïnvloeden. Ten slotte kan de overheid transport na een aanslag stilleggen. Zo werd het luchtruim van de Verenigde Staten gesloten, waardoor leveringen minstens 3,5 dag niet meer konden plaatsvinden. Hierdoor moest Toyota bijvoorbeeld zijn fabrieken voor 4 dagen stilleggen omdat ze moesten wachten op Just-In-Time leveringen van sensoren uit Duitsland. Kortom, terrorisme heeft niet alleen invloed met een aantal slachtoffers en directe financiële schade, maar het leidt door overheidsmaatregelen (en na een aanslag) tot een lagere logistieke betrouwbaarheid. 2.2
Mondiaal goederentransport Onze transportsystemen zijn ontworpen om een markteconomie in een open maatschappij te ondersteunen. Als gevolg van de mondialisering van handel hebben deze transportsystemen een sterk internationaal karakter. Van de totale wereldhandel hebben de Verenigde Staten (VS) een aandeel van 21% in 2001, terwijl de Europese Unie (EU) een aandeel van 19% heeft (Eurostat, 2004). De EU handelt het meest met de VS: volgens Eurostat (2004) importeerde de EU in 2001 195,6 miljard ECU uit de VS (19% van de totale export), terwijl het 239,9 miljard
9 / 94
PROTECT 2005
ECU naar de VS exporteerde (24,3% van de totale export). Andere belangrijke handelspartners zijn Zwitserland, Japan, China en Rusland. Van deze externe handel van de EU vindt circa 90% (in tonkilometer) plaats via zeetransport (Europese Unie, 2001). Ongeveer 70% van de zeeschepen passeert regelmatig nauwe zeestraten die gevoelig (kunnen) zijn voor kapers (Ministerie van Verkeer en Waterstaat, 2005). 2.3
Ketenstructuren De logistieke keten bestaat uit talloze partijen die elk verschillende activiteiten en verantwoordelijkheden hebben. Men kan onder andere de volgende partijen onderscheiden: -
-
-
Producenten / verladers Transportaanbieders o Wegtransport o Luchttransport o Zeetransport o Binnenvaart o Spoortransport Transport facilitoren o Cargadoor o Expediteur Overslag o Stuwadoor o Overslagterminal Logistieke dienstverleners o 3PL (logistics control) o Warehouse o Crossdock centrum Handelsorganisatie o Importeur o Exporteur
-
-
-
Overheidsinstanties o Douane o Infrastructuuraanbieder o Overig (bv. Plantenziektekundige Dienst Andere leveranciers o Investeerders o Verzekeraars o Olie-, gas- en electriciteitsbedrijf o Communicatieaanbieder o Softwareleverancier o ICT leverancier Klanten
Ketenstructuren kunnen op verschillende wijzen worden geklassificeerd. Ten eerste kan men distributiestructuren klassificeren naar de verschillende logistieke activiteiten die in een keten zijn opgenomen (Picard, 1982; NDL, 2002; Becker et al., 2004). Een structuur waarbij een producent op order aan een klant levert is beduidend anders dan een structuur met een Europees warehouse dat via regionale distributiecentra aan een klant levert. Deze klassificeringsmanier kan goed gebruikt worden om aan te geven waar (beveiligings-)maatregelen invloed hebben op logistieke activiteiten. Ten tweede kan men ketens onderscheiden naar de route van zendingen. Beveiligingsmaatregelen kunnen verschillen voor import- en exportstromen. In deze context is het relevant om na te gaan of goederen naar, via of vanaf Nederland worden vervoerd en wat de beveiligingseisen per richting zijn. Hiernaast is het tevens interessant om specifiek de stromen naar de Verenigde Staten te onderzoeken, omdat dit land zeer specifieke importeisen hanteert. Ten derde kan men ketenstructuren onderverdelen naar modaliteiten. Een bedrijf kan verschillende transportmodaliteiten inzetten in de keten. Elke modaliteit kent haar eigen karakteristieken en eigen beveiligingsbehoeftes.
10 / 94
PROTECT 2005
Ten vierde kunnen ketens gestructureerd worden naar goederenkarakteristieken. De (logistieke) eigenschappen bepalen op welke wijze goederen worden ingekocht en gedistribueerd. Dit is niet alleen belangrijk voor de logistieke organisatie maar ook voor de beveiliging van de goederenstromen. Goederen zijn immers sterk verschillend dat het risico voor misbruik of aanval sterk uiteenloopt. Preventieve beveiligingsmaatregelen zullen zich sterk focussen op goederen die een hoog risico met zich mee brengen. 2.4
Logistiek lagenmodel voor mondiaal transport RAND (2004) stelt dat de functionaliteit van de logistieke keten bestaat uit drie onafhankelijke en interacterende lagen. Dit betreft de volgende lagen: - De bovenste laag is de overkoepelende beheersingslaag. Deze geeft de beheersing weer waarin overheid en overkoepelende instanties wetgeving en standaarden vastleggen en controle uitvoeren voor de lagere lagen. - De middelste laag is de transactielaag waarin logistieke partijen informatie delen, waarin de logistieke planning en afstemming plaatsvindt en waarbinnen zich de handel en financiële stromen voltrekken. - De onderste laag stelt het fysieke logistieke systeem voor waarin goederen worden getransporteerd. Figuur 2 illustreert de interacties tussen deze lagen. De bovenste laag is enerzijds voorwaarde scheppend en ontwikkelt regels op basis van ervaringen en verwachtingen in de lagere lagen. Ook voert het controle uit op naleving van deze regels in de andere lagen. De spelers in de transactielaag voeren handel en stellen de grondvorm en tactische planning vast van de productie- en distributieketen. Hiermee bepaalt deze middelste laag de afhankelijkheden en invulling van de operationele activiteiten van het fysieke logistieke systeem. Beheersing EU
Port Security Officer Ministerie van V&W
Transactie
Logistiek
WEGTRANSPORT
WCO
NL Douane
IMO
ICAO
VERLADER EXPEDITEUR
AGENT
BANK
VERZEKERAAR
SPOOR
US Customs
REDER
RETAIL
KLANT
BINNENVAART
TERMINAL DISTRIBUTIE CENTRUM
SCHIP
(RAND Corporation, 2004)
Figuur 2:
Interacties tussen logistiek, transactie en (overheids)beheersing
PROTECT 2005
2.5
11 / 94
Beveiliging als bedrijfsstrategie Voor het bedrijfsleven is beveiliging een middel om risico’ s af te wenden. Vrijenhoek (2005) definieert bedrijfsstrategie als “de doelen die als basis dienen voor beslissingen over het afstemmen van het vermogen en de middelen van een bedrijf op kansen en bedreigingen in de omgeving van dit bedrijf, waarbij ethiek en wet- en regelgeving in acht wordt genomen”. Het management definieert deze doelen op vier niveaus. De missie geeft aan waar de kerncompetenties van een bedrijf liggen en welke doelen men heeft om een bepaalde doelgroep te bereiken. De strategie geeft aan op welke wijze de gestelde doelen bereikt moeten worden.. Dit wordt vervolgens vertaald in kritische succesfactoren die van directe invloed zijn op het behalen van de doelen. Ten slotte geven prestatie-indicatoren de stand van zaken en de vooruitgang voor het behalen van de doelen weer.
Figuur 3: Beveiligingsstrategie werkt op alle managementniveaus
Een beveiliging is een onderdeel van de bedrijfsstrategie. Een bedrijf moet in haar missie concretiseren welke doelen het heeft ten aanzien van beveiliging. Hierbij spelen vele factoren een rol, zoals de aard van de goederen of diensten en de hieraan verbonden gevoeligheid en risico’ s waarmee een bedrijf te maken heeft. Daarnaast kan beveiliging gezien worden als een concurrentievoordeel dat klanten binnen kan halen. In de missie bepaalt een bedrijf de mate waarop het zich gaat richten op beveiliging. Beveiligingsstrategie bestaat uit twee onderdelen. Allereerst moet een bedrijf voldoen aan verplichte wet- en regelgeving. Anderzijds kan het participeren in vrijwillige initiatieven. De gevolgde strategie – en de keuze in de initiatieven – is een afgeleide van de vooraf bepaalde missie van het bedrijf. Bij de uitvoering van de beveiligingsstrategie staan kritische succesfactoren centraal. Het niveau waarop deze behaald worden kan men via de prestatie-indicatoren meten. 2.6
Logistieke risico’s Logistieke ketens zijn kwetsbaar gebleken voor onverwachte verstoringen in productie opslag en transport. Als een verstoring bij een bedrijf ontstaat, kan deze direct effect hebben op de toelevering aan afnemende partijen. Ook kunnen toeleveranciers plots te maken krijgen met spoedbestellingen. Verstoringen in productie- en toeleveringsketens hebben allereerst negatieve impact op de bedrijfsvoering van de getroffen ketenpartijen. Een logistieke verstoring leidt al snel tot extra kosten en lagere serviceniveaus. De concurrentiepositie van bedrijven - en uiteindelijk van een keten - lijdt daarom onder een hoge kwetsbaarheid.
12 / 94
PROTECT 2005
Belangrijke oorzaken voor kwetsbaarheid zijn een eenzijdige managementfocus op logistieke efficiëntie, een sterke afhankelijkheid tussen bedrijven in een keten en een complexe verwevenheid van ketens in netwerkvorm. Christopher (2003) concludeert dat verstoringen in een keten leiden tot een lagere handel, daarmee tot verlies van regionale werkgelegenheid en uiteindelijk tot een reductie van mondiale welvaart. Deze kwetsbaarheid leidt tot de behoefte aan het ontwerp van beveiligde en veerkrachtige ketens. Beveiliging (‘security’ ) houdt in de logistiek in dat goederen beschermd zijn tegen misbruik, diefstal en beschadiging en dat (derde) partijen logistieke activiteiten niet kunnen inzetten voor ongewenste doelen. Veerkrachtige (‘resilient’ ) ketens kunnen verstoringen opvangen en de ontstane maar ongewenste situatie herstellen in een (eventueel nieuw) economisch en logistiek evenwicht. Als de te garanderen prestaties zijn vastgesteld kan men onderzoeken welke risico’ s er bestaan die deze prestaties kunnen verstoren. Onverwachte verstoringen zijn gevaarlijker dan reeds gesignaleerde risico’ s. Gesignaleerde risico’ s kan een bedrijf immers adequaat aanpakken. In het algemeen kan men de volgende ketenrisico’ s onderscheiden (TNO & BCI, 2005): 1. Vertraging - Vertraging bij inkoop - Vertraging bij distributie 2. Te weinig voorraad - Onbenutte productiecapaciteit (bij inkoop) - ‘Nee’ verkoop / uitverkocht 3. Te veel voorraad - Problemen bij houdbaarheid en (technische) veroudering 4. Ineffectieve benutting van middelen - Personeel (slachtoffers, angst, verlies van expertise, te weinig werk) - Transport vloot te klein of te groot - Dominante bottleneck in logistieke activiteiten (e.g.opslag, cross-docking, order-picking) 5. Klantenvraag wordt niet nagekomen - Omruil en/of claims door verkeerde specificaties of productiefouten - Niet complete zendingen a.g.v. ineffectieve order-picking 6. Te lage product- en servicekwaliteit - Defecte onderdelen, te korte levensduur - Ineffectieve en/of klantonvriendelijke service 7. Ineffectieve informatie uitwisseling - Ineffectieve planning door miscommunicatie 8. Niet nakomen van financiële verplichtingen - Debiteurenmanagement (uiteindelijke royering van debiteuren met lang lopende schuld) - Financiële en logistieke gevolgen van faillissement 2.7
Definitie ‘beveiligde logistieke keten’ DG TREN (2004) definieert vanuit overheidsperspectief transportbeveiliging als “de combinatie van preventieve maatregelen en personen en middelen om de transportinfrastructuur, voertuigen, systemen (inclusief systemen voor dataoverdracht), passagiers, lading, werknemers tegen opzettelijke onwettige daden te beschermen”.
PROTECT 2005
13 / 94
Omdat deze definitie vooral impliceert dat beveiliging zowel een maatschappelijke als bedrijfsmatige kant heeft, stelt PROTECT een eigen definitie voor. Interne en externe functie van beveiliging De functie van beveiliging voor logistieke ketens kan vanuit een tweetal perspectieven bekeken worden. Logistieke beveiliging heeft een externe, maatschappelijke functie waarbij beveiliging zorgdraagt dat sociale structuren (b.v. slachtoffers, maatschappelijke polarisatie, milieu) en economische structuren (b.v. economische schade) in takt blijven. Dit houdt in dat logistieke beveiliging misbruik, verboden handelingen en ongewenste gebeurtenissen in de logistieke keten tracht te voorkomen. Hiermee kan sociale en economische schade voorkomen of geminimaliseerd worden. Logistieke beveiliging heeft hiernaast een interne functie waarbij beveiliging de leveringsbetrouwbaarheid garandeert voor ketenpartijen. Een betrouwbare logistieke keten waarborgt dat de eindgebruiker het juiste product in de juiste hoeveelheid op het juiste moment in de juiste conditie tegen de juiste kosten krijgt geleverd (Coyle, Bardi, Langley, 1996). Definitie Dit betekent dat een beveiligde logistieke keten: - bescherming biedt aan sociale en economische structuren en - waarborgt dat ketenpartijen op tijd kunnen blijven leveren aan hun klant - door het inzetten van beveiligingsmaatregelen - voor het voorkomen van misbruik, verboden handelingen en ongewenste gebeurtenissen in de logistieke keten. Afbakening Binnen de definitie van beveiliging van een logistieke keten valt: - zowel criminaliteitsbestrijding als terrorismebestrijding; - directe dreiging (b.v. diefstal, smokkel van wapens) als indirecte dreiging (b.v. voertuig als wapen); - het keten- en netwerkperspectief (b.v. interactie, afhankelijkheid, concurrentie, samenwerking, vertrouwen, individuele verantwoordelijkheid); - beveiliging van goederenstromen (zowel interne als externe functie); - logistieke informatiestromen. Transparantie is nodig om de juiste beveiligingskeuzes te kunnen nemen. Men moet weten waar er risico’ s zijn en hoe groot deze zijn. Ook kan men gebeurtenissen controleren wanneer voldoende informatie tussen partijen wordt gedeeld. De transparantie van een keten verbetert wanneer de ketenpartijen meer logistieke informatie uitwisselen. Er zijn drie types informatie relevant (PROTECT D1.2): 1. Ladinginformatie 2. Procesinformatie (tracking en tracing) 3. Informatie over de integriteit over goederen en transportvoertuig. De definitie van een beveiligde logistieke keten richt zich echter niet op: - negatieve externe effecten voor het milieu; - bescherming tegen milieurampen
14 / 94
PROTECT 2005
2.8
Beveiligingsrisico’s in de logistieke keten Beveiliging van de logistieke keten heeft zowel een maatschappelijke als een bedrijfskundige kant. Vanuit het logistiek lagenmodel kan men de bestaande beveiligingsrisico’ s in alle drie lagen identificeren. Onderstaand figuur geeft voorbeelden van deze risico’ s.
Beheersing
Aanval op maatschappij Aanval op economie Ineffectief crisismgt. Beschading infrastructuur
Transactie
Onbetrouwbaarheid Cyber-criminaliteit Ongewenste benutting van goederen Onduidelijke communicatie Fraude
Logistiek
Smokkel Aanval met voertuig Diefstal van voertuig Aanval op voertuig Diefstal van lading Sabotage
Figuur 4: Beveiligingsrisico’s in het logistiek lagenmodel
Risico’s in goederenstromen van en naar Europa Beveiligingsrisico’ s kunnen vervolgens worden gerelateerd aan goederenstromen. Dit kan op basis van geografie en bestaande regelgeving en initiatieven. Goederenstromen die reeds beveiligd worden zijn vooral goederenstromen die via zeehavens lopen. Importstromen via Europese zeehavens worden onderworpen door verschillende beveiligingsmaatregelen (zoals ISPS-code en 724/2004, CSI, etc.). Exportstromen naar de Verenigde Staten worden tevens grondig gecontroleerd door de Amerikaanse douane (bijvoorbeeld in het kader van Advanced Manifest Rule en C-TPAT). Beveiliging van goederenstromen naar Europa richt zich ook op luchttransport. Europese luchthavens en luchthavens worden steeds zwaarder beveiligd. De landgrensen van Europa krijgen momenteel relatief minder beveiligingsaandacht. Dit betreft met name de grensen met Rusland, Wit-Rusland, Oekraïne, Roemenie, Joegoslavië, Bosnië en Kroatië. Europees beleid zal de komende jaren aan beveiliging hiervan gaan werken.
15 / 94
PROTECT 2005
2.9
Verantwoordelijkheden in ketenbeveiliging Elke partij in de internationale goederenketen heeft zijn eigen rol. Daarmee heeft elk ook een eigen verantwoordelijkheid ten aanzien van logistieke beveiliging. Men kan ten minste de volgende verantwoordelijkheden identificeren per partij: -
Producenten / verladers
-
Transportaanbieders o Wegtransport o Luchttransport o Zeetransport o Binnenvaart o Spoortransport Transportfacilitatoren o Cargadoor o Expediteur Overslag o Stuwadoor o Overslagterminal
-
-
-
-
-
-
-
Logistieke dienstverleners o 3PL (aansturing) o Warehouse o Crossdock centrum
Handelsorganisatie o Importeur o Exporteur Overheidsinstanties a. Douane b. Infrastructuuraanbieder c. Overig (bv. Plantenziektekundige Dienst) Andere leveranciers a. Investeerders b. Verzekeraars c. Olie-, gas- en elektriciteitsbedrijf d. Communicatieaanbieder e. Softwareleverancier f. ICT leverancier Klanten
-
Beveiliging van goederen en middelen op terrein Beveiliging van logistieke informatieverwerking Handel met betrouwbare partijen waar nodig Beveiligd laden van ladingdrager en voertuig Verificatie van alle bezoekers Verificatie van afgifte en ophalen zendingen Real-time tracking van ‘gevoelige’ zendingen Beveiliging van goederen en voertuig tijdens transport Beveiliging van logistieke informatieverwerking Real-time tracking van ‘gevoelige’ zendingen Tracing van verdachte zendingen achteraf
-
Beveiliging van logistieke informatieverwerking
-
Beveiliging van goederen en middelen op terrein Beveiliging van logistieke informatieverwerking
-
Beveiliging van goederen en middelen op terrein Beveiliging van goederen en voertuig tijdens transport Beveiliging van logistieke informatieverwerking Real-time tracking van ‘gevoelige’ zendingen Tracing van verdachte zendingen achteraf Handel met betrouwbare partijen waar nodig
-
a. b.
Verificatie van betrouwbaarheid van goederen bij grensoversteek Validatie van robuustheid van infrastructuur
a. b. c.
Handel met betrouwbare partijen waar nodig Eerlijke inschatting bedrijfsrisico in keten Validatie van robuustheid van infrastructuur
d. e. f.
Validatie van robuustheid van infrastructuur Validatie van robuustheid van infrastructuur Validatie van robuustheid van infrastructuur
-
Handel met betrouwbare partijen waar nodig
16 / 94
PROTECT 2005
2.10
Logistieke betrouwbaarheid centraal in ketenbeveiliging Logistieke kwetsbaarheid in de keten (‘supply chain vulnerability’ ) is vanuit bedrijfsperspectief een van de belangrijkste drijfveren om rekening te houden met terroristische aanslagen. Bedrijven wensen dat logistieke activiteiten volgens planning verlopen. Elke verstoring hierin kan leiden tot ontregeling in de continuïteit, inefficiëntie, kostenverhoging, inflexibiliteit enzovoorts. Daarom richten logistieke managers zich op het voorkomen van verstoringen en op de minimalisatie van de gevolgen als er een verstoring plaatsvindt. Logistieke betrouwbaarheid geldt hierbij als hoofddoel. Om (logistieke) stoornissen in de keten te voorkomen heeft men een ‘supply chain security strategy’ nodig (Vrijenhoek, 2005). Deze richt zich primair op de gebeurtenissen (‘events’ ) en de consequentie die een dergelijke gebeurtenis voor het bedrijf heeft.
Ev e n t s
SU PPLY CH AI N SECURI TY STRATEGY
D isr u pt ions
Figuur 5: Afwegingselementen in de beveiligingsstrategie (Vtijenhoek, 2005)
Voor het bepalen van de kritische succesfactoren specificeren Sheffi (2005) en Rice & Caniato (2003) een lijst met maatregelen die bedrijven kunnen inzetten om een effectieve beveiligingsstrategie te bepalen (zie ook Tabel 1 in paragraaf 3.3): fysieke beveiligingsmaatregelen, personeelsbeveiliging, informatiebeveiliging, bescherming van goederen, zendingen en personeel, het toewijzen van een beveiligingsmanager, en het ontwikkelen van een beveiligingsplan. ISO 28000 en ISO 28001 geven hiervoor een structurele aanpak om dit geheel adequaat en inzichtelijk op te zetten. Hoofdstuk 7.4 gaat nader op een vergelijkbaar stappenplan in. De ‘supply chain security strategie’ kan volgens Vrijenhoek (2005) geconcretiseerd worden op basis van drie categorieën: (1) identificeren van risicobronnen, (2) omgaan met kwetsbaarheid en (3) daadwerkelijke verstoringen. Zoals onderstaand Figuur 6 weergeeft, staat (logistieke) kwetsbaarheid hierbij centraal. De kwetsbaarheid is een gegeven op basis van het ontwerp van de ketenstructuur, maar wordt sterk beïnvloed door interne en externe risicobronnen. Ketenpartijen kunnen vervolgens beveiligingsmaatregelen inzetten om de verstoringen (‘disruptions’ ) te voorkomen of te minimaliseren.
PROTECT 2005
17 / 94
Figuur 6: Conceptueel raamwerk voor ketenbeveiliging (Vrijenhoek, 2005)
2.11
Vermindering van logistieke kwetsbaarheid: Extended failure mode approach Het verkrijgen van deze logistieke betrouwbaarheid kan volgens Rice en Caniato (2003) het beste volgens het zogenaamde ‘Failure Mode concept’ . Hierbij kijkt de logistieke manager niet zo zeer naar de verschillende typen bedreigingen vanuit beveiligingsperspectief. De focus van dit concept is op de logistieke prestaties en welke ‘failure modes’ (faalfactoren) een gevaar kunnen zijn voor het behalen van deze prestaties. De kracht van het gebruik van failure modes is dat er een beperkt aantal factoren is waarin logistieke prestaties onder druk komen te staan, terwijl het aantal bedreigingen als oorzaak van deze factoren bijzonder groot is. Rice en Caniato (2003) onderscheiden de volgende failure modes in logistieke ketens: 1. Supply – vertraging of niet beschikbaarheid van materialen bij de inkoop en belevering; 2. Transport – vertraging of niet beschikbaarheid van transportcapaciteit, noodzakelijke infrastructuur of modaliteiten; 3. Facilities – Vertraging of niet beschikbaarheid van fabrieken, warehouses, kantoorgebouwen en andere gebouwen; 4. Communication – Vertraging of niet beschikbaarheid van informatie en communicatie infrastructuur; 5. Human Resources – Vertraging, verlies of niet beschikbaarheid van werknemers. In PROTECT (D4.1) is het Failure mode concept uitgebreid tot de ‘Extended failure mode approach’ om de relaties tussen security en logistiek nog verder te verduidelijken. Onderstaand Figuur 7 toont alle onderdelen van deze benadering. De redenering is als volgt.
18 / 94
PROTECT 2005
Elke logistieke keten bestaat uit verschillende activiteiten die uitgevoerd moeten worden. Deze activiteiten hebben betrekking op de fysieke goederenstroom, logistieke informatiestroom met middelen en met werknemers. Elke keten heeft faalfactoren (‘failure modes’ ), aangezien het mogelijk is dat de goederen- en/of informatiestroom, middelen of werknemers kunnen uitvallen. De failure mode approach geldt voor de faalfactoren waarover een bedrijf geen controle heeft en die nauwelijks te voorspellen zijn. Onder de failure modes vallen dan ook terroristische acties, criminaliteit en andere gebeurtenissen zoals natuurgeweld. De gevolgen van dergelijke failure modes kan worden geklassificeerd naar mate van impact en kans. Op basis van deze inschatting moeten er acties ondernomen worden. Dit betreft zowel preventieve maatregelen om het falen te voorkomen en reactieve maatregelen om de impact te beperken. Ten slotte kan elke maatregel ook zelf de logistieke prestaties beïnvloeden. Extra controles kunnen bijvoorbeeld extra tijd voor de goederenstroom en voor de werknemers vergen. In de afweging om een maatregel in te zetten zal het management van een bedrijf dus niet alleen kijken naar impact en kans van een failure mode, maar ook naar de mogelijke gevolgen van die maatregel op de logistieke prestaties. Failure modes Supply
Failure modes are caused by different types of events
Terrorist Criminal Other
Causes
Each cause has its own risk profile
Impact
High Medium Low
High Medium Low
Probability
Actions / measures are defined based on the risk profiles
Actions / Measures Preventive
Reactive Each action / measure has advantages and disadvantages
Supply chain impact of measures Advantages
Disadvantages
Figuur 7: Extended Failure mode approach
2.12
Raamwerk voor logistieke beveiliging Het raamwerk voor logistieke beveiliging geeft een overzicht van de rationaliteit waarom er een behoefte is om beveiligingsmaatregelen in een logistiek perspectief te plaatsen. Zoals het figuur beneden illustreert, bestaat het raamwerk uit vijf lagen: (1) de ketensituatie, (2) preventie en reactie, (3) kwetsbaarheid, (4) betrouwbaarheid, en (5) doelen.
19 / 94
PROTECT 2005
De ketensituatie betreft de actuele status van de supply chain: de structuur van toeleveranciers, producenten, logistieke dienstverleners en andere ketenpartijen. De ketenpartijen zijn van elkaar afhankelijk omdat ze met elkaar handeldrijven en goederen en/of informatie met elkaar delen en/of diensten aan elkaar leveren. Deze afhankelijkheid betekent dat als één ketenpartij financieel schade leidt of logistieke problemen ondervindt, zijn toeleveranciers en klanten hiervan de (logistieke) gevolgen van kunnen ondervinden. Criminaliteit en terrorisme kunnen hierdoor als beveiligingsissues het functioneren van de keten verslechteren. Daarom zijn beveiligingsmaatregelen sterk verweven met logistieke activiteiten. Preventie en reactie betreft het managen van de ketenafhankelijkheden en de beveiligingsissues. Supply chain management is het management van de inkoop en distributie van goederen en diensten in de groep van ketenpartijen die waarde toevoegen in de productstroom van grondstof tot eindproduct voor de uiteindelijke gebruiker (Cavinato, 1992). Hiermee maakt SCM afhankelijkheden hanteerbaar en exploiteerbaar. Daarnaast zetten bedrijven beveiligingsmaatregelen in om criminele acties en andere gevaren te voorkomen. Aangezien dergelijke bedreigingen over de hele keten bestaan, integreren bedrijven beveiliging waar nodig in hun logistieke strategieën. Vanuit bedrijfskundig perspectief zullen bedrijven hun beveiliging vooral op de grootste bedreigingen (qua frequentie, risico en impact) richten, zoals in de vorige paragraaf aan bod kwam. Ketensituatie Ketenstructuren & afhankelijkheden
Beveiligingsissues
Gemanaged door
Preventie and Reactie Supply chain management
Beveiligingsmaatregelen overlatend
Kwetsbaarheid Supply chain risico’s
Beveiligingsrisico’s
Te managen met
Betrouwbaarheid Failure modes & Beveiligingsmaatregelen
Ketenbenadering Om te realiseren
Doelen Logistieke betrouwbaarheid
Figuur 8: Raamwerk voor logistieke beveiliging
Maatschappelijke bescherming
PROTECT 2005
20 / 94
SCM en traditionele bedrijfsbeveiliging van locaties kan niet voorkomen dat goederenstromen kwetsbaar zijn. SCM verbetert de planning van logistieke activiteiten in de keten, maar het richt zich nog nauwelijks op de risico’ s die als ‘failure mode’ van buitenaf van invloed kunnen zijn op de keten. Bedrijfsbeveiliging richt zich in het algemeen op beveiliging van locaties, zoals fabrieken, warehouses en distributiecentra. De overgebleven kwetsbaarheid ligt dan ook op ketenniveau. Goederenstromen en informatiestromen zijn nog kwetsbaar voor verstoringen van buitenaf. Vanwege de ketenafhankelijkheid benadelen ze de logistieke prestaties. Om de keten betrouwbaarder te maken draagt het raamwerk de idee dat het logistiek management meer vanuit beveiliging en ‘failure modes’ zou moeten denken. Een multiple-sourcingsstrategie kan bijvoorbeeld vanuit rationalisatieperspectief minder efficiënt zijn, maar van uit logistieke beveiliging een hogere betrouwbaarheid kunnen garanderen in het netwerk. Omgekeerd zou beveiligingsmanagement meer vanuit een ketenbenadering moeten functioneren. Beveiliging gaat immers niet alleen gebouwen, maar ook van zendingen en documenten. De beschreven extended failure mode approach kan hier een doeltreffend instrument voor zijn. Ten slotte hebben bedrijven en overheden overlappende doelen. Vanuit veiligheidsmaar ook economisch perspectief zijn maatregelen van bedrijfsleven en overheid erop gericht om te zorgen voor maatschappelijke bescherming en logistieke betrouwbaarheid.
PROTECT 2005
3
Marktontwikkeling: beveiliging door samenwerkingsprogramma’ s
3.1
Behoefte aan overzicht over beveiligingsinitiatieven
21 / 94
De sterke belangstelling van de overheden voor security is op gericht op bescherming van de samenleving. Dit heeft met name betrekking op bescherming van dichtbevolkte gebieden en plaatsen waar veel mensen samenkomen. Overheidsbescherming van goederenstromen richt zich in de persoon van douane en marechaussee – in het kader van terrorisme – voornamelijk op het voorkomen van wapensmokkel. De zakenwereld probeert met name in de pas te blijven lopen met de wetgeving. Zo voert men beveiligingsmaatregelen door om te voldoen aan strikte eisen. Deze maatregelen kosten geld, terwijl vaak niet duidelijk is wat de effecten hiervan zijn. Werkpakket 3 heeft daarom de kosten en baten van logistieke beveiliging onderzocht. Ook nemen overheid en bedrijfsleven zelf beveiligingsinitiatieven waar logistieke ketenpartijen vrijwillig aan kan deelnemen. Participatie hierin zou moeten leiden tot een kleinere kans op inspecties door douanes, verbetering van het kwaliteitsmanagementsysteem voor de bedrijfsbeveiliging en/of hogere logistieke efficiëntie dankzij toepassing van beveiligingsinformatietechnologie in goederenstromen. Dit hoofdstuk geeft een overzicht van de relevante initiatieven en ontwikkelingen op het gebied van logistieke beveiliging van goederenstromen, 3.2
Relevante initiatieven en ontwikkelingen De afgelopen jaren is een groot aantal nieuwe beveiligingsinitiatieven geïntroduceerd. Een aantal daarvan is ingevoerd, maar een ander deel zit nog in de ‘pijplijn’ . Tabel 1 geeft een overzicht van de belangrijkste initiatieven waar Nederlandse bedrijven, actief in internationaal transport en logistiek, mee te maken hebben en krijgen. Niet alle initiatieven zullen voor uw bedrijf relevant zijn. In de tabellen die hierop volgen, zal aangegeven worden wat de reikwijdte van de verschillend initiatieven is. Sommige initiatieven bestonden al lang, maar hebben nu een security paragraaf (bijvoorbeeld ADR/ADNR). Tenslotte, deze lijst is niet uitputtend, maar bedoeld om de reikwijdte van de huidige initiatieven te schetsen. Tabel 1 maakt onderscheid tussen wetgeving en overheidscertificering, private certificering, nationale programma’ s en technische initiatieven. De afkortingen van de verschillende initiatieven zijn te vinden in Bijlage 2.
22 / 94
PROTECT 2005
Tabel 1: Belangrijkste beveiligingsinitiatieven
Actueel
In ontwikkeling
Wetgeving en overheidscertificering 1. ISPS Code 2. ADR/ ADNR 3. Adv.Manifest Rule (VS)/24 hour Rule 4. Air transport security 5. 6. 7.
Actueel
Authorized Economic Operator (security) Adv. Manifest Rule (EU) Security Management System (EU)
‘Nationale’ programma’s 14. C-TPAT (VS) 15. BASC (Zuid Amerika) 16. PIP (Canada) 17. Stairsec (Zweden) 18. Frontline (Australië)
Private certificering 8. TAPA – FSR 9. Eurowatch 10. ACN security certificaat
11.
TAPA – TSR
12. 13.
TAPA – Airfreight ISO Security Management System standard
Technische initiatieven 19. Smart and secure tradelanes 20. VACIS®/BAWS/Zoca/... 21. Operation Safe Commerce 22. Portkey 23. ACN pas
Zie bijlage 1 en 2 voor afkortingen en internetreferentie
Initiatieven vanuit wetgeving en/of gericht op overheidscertificering zijn initiatieven die wettelijk verplicht zijn of zullen worden. Daarbij zijn het vooral de initiatieven die nog in ontwikkeling zijn die voor belangrijke veranderingen zullen zorgen. Met name de Europese ketenverordening, die maatregelen 6 ‘advanced manifest rule’ en 7 ‘security management system’ omvat, zal gevolgen hebben voor Nederlandse transport en logistieke bedrijven. Met de term ‘air transport security’ wordt een pakket aan maatregelen aangeduid dat grotendeels via de International Civil Aviation Organisation geïnitieerd is. De invoering van de authorized economic operator (security) zal ook belangrijke gevolgen hebben, onder andere, omdat de meeste voordelen vanuit de douane (in de sfeer van afhandeling) aan dit concept gekoppeld zullen worden. Hier zijn voorstellen voor gedaan in het recente security initiatief van de Wereld Douane Organisatie (WCO). Initiatieven gericht op private certificering zijn initiatieven die door bedrijven worden genomen om hun eigen goederenstroom te beveiligen. Deze initiatieven kenmerken zich door een kwaliteitsbenadering ten behoeve van de dienstverleners, die gecertificeerd kan worden door een onafhankelijke instantie of ge-audit door het bedrijf zelf. Deze maatregelen zijn in zoverre vrijwillig dat zij gevraagd kunnen worden tijdens contractonderhandelingen. Bedrijven die de gewenste maatregelen niet kunnen nemen lopen de kans van verdere dienstverlening uitgesloten te worden. In PROTECT is gebleken dat vrij veel logistieke bedrijven met name door klanten worden geconfronteerd met beveiligingseisen. De nationale programma’s zijn unilaterale programma’ s die door één land of een groep landen zijn geïnitieerd om de inkomende of uitgaande goederenstroom te beveiligen. BASC, bijvoorbeeld, is een programma van een aantal Zuid-Amerikaanse landen dat beoogt de exportstroom uit die landen te beveiligen. Het Amerikaanse C-TPAT is waarschijnlijk het belangrijkste en bekendste voorbeeld. Dit programma beoogt de inkomende goederenstroom naar de Verenigde Staten te beveiligen. Als tegenprestatie
23 / 94
PROTECT 2005
belooft de Amerikaanse douane onder andere een meer soepele afhandeling van de goederen bij binnenkomst. Dit wordt ook wel het ‘green lane’ concept genoemd. Veel aandacht gaat in diverse media uit naar de technische initiatieven. Dit zijn vaak proef-trajecten waarbij een bepaalde beveiligingstechnologie, zoals RFID-tags of elektronische sloten, wordt uitgeprobeerd. Regelmatig nemen verladers, ook in Europa, aan dit soort projecten deel. De Portkey is een persoonsidentificatie-initiatief in de Haven van Rotterdam.
Luchttransport
(luchtvracht)
Afhandelaar
Binnenvaart/ spoor
Expediteur
Rederij
Stuwadoor
Distributie-centrum
Weg-transporteur
Verlader
Tabel 2: Beveiligingsinitiatieven in de keten
ISPS Code ADR/ADNR Adv. Manifest Rule (VS) Air transport security AEO Adv. Manifest Rule (EU) Security Management System (EU) TAPA – FSR Eurowatch ACN security certificate TAPA – TSR TAPA – Airfreight ISO Security Management Syst C-TPAT BASC PIP Stairsec Frontline Smart & Secure Tradelanes VACIS®/BAWS/ZOCA/... Operation Safe Commerce Portkey ACN pas
De focus in deze tabel is vanuit het standpunt van Europese/Nederlandse bedrijven. Zie bijlage 1 en 2 voor afkortingen en internetreferentie
Een van de belangrijkste aspecten van de bovenstaande initiatieven is de vraag welke partij in de keten met welk initiatief te maken krijgt. Dit kan direct of indirect, via een ketenpartner, zijn. Hierin zijn grote verschillen per initiatief. Tabel 2 geeft de werking van de verschillende initiatieven voor diverse ketenpartners weer. Initiatieven kunnen ook worden ingedeeld op basis van hun geografische reikwijdte. De indeling die hieronder is weergegeven, geeft aan of een maatregel wereldwijd geldt, of regionaal.
24 / 94
PROTECT 2005
Tabel 3: Geografische reikwijdte van initiatieven Initiatief 1. 2. 3. 4.
ISPS-code ADR/ADNR Adv. Manifest Rule (VS) Air transport security
5. 6. 7.
AEO Adv. Manifest Rule (EU) Security Management System (EU) TAPA – FSR Eurowatch ACN security certificate TAPA – TSR TAPA – Airfreight ISO Security Management System standard C-TPAT BASC PIP Stairsec Frontline Smart & Secure Tradelanes VACIS®/BAWS/Zoca Operation Safe Commerce Portkey ACN pas
8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23.
Geografische reikwijdte Wereldwijd Regionaal IMO EU 725/2004 UN-ECE EU VS ICAO ATSA (VS) 2320/2002 (EU) 648/2005 EU EU Ketenverordening EU Ketenverordening TAPA Pan-Europees (incl. Rusland) Nederland (Schiphol) TAPA TAPA ISO VS Zuid-Amerika Canada Zweden Australië Privaat initiatief Privaat initiatief VS Nederland (Haven van Rotterdam) Nederland (Schiphol)
De cursief gedrukte initiatieven zijn nog in ontwikkeling. Zie bijlage 1 en 2 voor afkortingen en internetreferentie
25 / 94
PROTECT 2005
Ten slotte kunnen maatregelen worden ingedeeld naar functionele doelstelling: • beveiliging tegen diefstal • beveiliging tegen smokkelen • terrorismepreventie Deze indeling is weergegeven in Tabel 4. Tabel 4: Doelstelling per initiatief Initiatief:
Preventie doel: Diefstal van goederen
ISPS ADR/ADNR Adv. Manifest Rule (VS) Air transport security AEO Adv. Manifest rule (EU) Security Management System
Smokkel
¥ ¥
Terrorisme ¥ ¥ ¥ ¥ ¥ ¥ ¥
(EU)
TAPA - FSR ¥ Eurowatch ¥ ACN security certificate ¥ ¥ ¥ TAPA – TSR ¥ TAPA – Airfreight ¥ ISO Security Management ¥ ¥ System standard C-TPAT ¥ BASC ¥ PIP ¥ Stairsec ¥ Frontline ¥ ¥ ¥ Smart & Secure Tradelanes ¥ VACIS®/BAWS/Zoca/... ¥ ¥ Operation Safe Commerce ¥ ¥ Portkey ¥ ¥ ACN pas ¥ ¥ ¥ De afkortingen zijn achterin deze brochure terug te vinden. De cursief gedrukte initiatieven zijn nog in ontwikkeling.
3.3
Beveiligingsmaatregelen in de keten De vorige paragraaf behandelt een groot aantal initiatieven dat door bedrijven geadopteerd en ingevoerd kan worden. Deze initiatieven bestaan allemaal uit een verzameling maatregelen die voor een deel technisch van aard zijn, en voor een deel organisatorisch. Dit hoofdstuk geeft een overzicht van de meest voorkomende concrete maatregelen.
26 / 94
PROTECT 2005
In Amerikaans onderzoek (Rice & Caniato, 2003) werd recent het volgende overzicht gegeven van maatregelen: Tabel 5: Maatregelen-structuur Niveau 1: basis maatregelen • • • • • •
Niveau 2: reactieve maatregelen •
Fysieke beveiliging Personele beveiliging Standaard risicoanalyse Basis informatiebeveiliging Opstellen continuïteitsplan Goederenstroombeveiliging
• • • •
Niveau 3: preventieve maatregelen • • • • • •
Inrichten beveiligings-, risico-management of bedrijfscontinuïteitsorganisatie C-TPAT compliance Analyse van toeleveranciers Continuïteitsplan toeleveranciers Beperkte beveiligingstraining
Niveau 4: geavanceerde initiatieven
Beveiligingsportefeuille in management team Nieuwe vaardigheden ontwikkelen Gestructureerde risicoanalyse Geavanceerde informatiebeveiliging Strategische focus op bedrijfszekerheid Samenwerken in beveiliging
• • • • • •
Ketensamenwerking Leren van incidenten Formele beveiligingsstrategie (kpi’ s) Ketenbeveiligingsoefeningen, simulaties, tests Meldkamer voor incidenten Kosten/baten afwegingen
Bron: Rice & Caniato (2003)
Belangrijke voorbeelden van maatregelen op niveau 1 zijn: cameratoezicht, hekwerken plaatsen, persoonscontrole aan de poort, clean-desk beleid, gestandaardiseerde laad- en losprocedures, extra sloten op deuren, autorisaties voor bepaalde handelingen (afsluiten van containers), wachtwoorden op de computer, enzovoort. Uit internationaal vergelijkend onderzoek naar de inhoud van een aantal van de in het vorige hoofdstuk genoemde initiatieven, blijkt dat veel van die initiatieven inhoud geven aan maatregelen in niveau 1, en soms niveau 2 en 3. Er is heel weinig aandacht voor de geavanceerde initiatieven, terwijl daar nu juist de meeste mogelijkheden liggen voor het creëren van (efficiency) winst uit beveiligingsmaatregelen. Onderzoek in het kader van PROTECT bevestigt dat veel bedrijven al bezig zijn met sommige van de hierboven genoemde maatregelen, en dat dat met name maatregelen uit niveau 1 en 2 zijn. Er zijn echter ook voorbeelden van partijen die met het oog op security de relatie met hun ketenpartners anders inrichten. Dit doen zij door bijvoorbeeld het aantal toegestane subcontrators te beperken, specifieke operationele zaken (technologie, routes, partners) voor te schrijven, en het recht op beveiligingsaudits te claimen. Voor wat betreft de voordelen die gerealiseerd zouden kunnen worden met ketenbeveiliging wijst de PROTECT enquête (zie paragraaf 5.2)onder verladers en logistieke dienstverleners uit dat bedrijven die maatregelen aan het invoeren zijn daar wel voordelen mee associëren. Die voordelen zijn nog niet heel precies te kwantificeren, maar omvatten: beter imago, betere relaties in de keten en met de overheid, zekere doorlooptijden, en minder diefstal van lading. Of de kosten van die
PROTECT 2005
27 / 94
maatregelen terugverdiend worden, blijft voor beide categorieën bedrijven nog onzeker 72% van de verladers, en 77% van de logistieke dienstverleners zegt op deze vraag ‘nee’ of ‘weet niet’ . In de scheepvaart is al enige ervaring met de advanced manifest rule. Die regel schrijft voor dat manifestgegevens voor vertrek van het schip naar de douane in het ontvangende land (de Verenigde Staten) gestuurd moeten zijn. Na een stroeve implementatie zeggen veel betrokkenen nu dat het vooraf beschikbaar maken van de gegevens weliswaar geen tijdwinst (of andere logistieke voordelen) oplevert, maar wel leidt tot een betere spreiding van de organisatorische activiteiten rond een afvaart. Niet alles hoeft meer op het laatste moment in orde te worden gemaakt. In recent Amerikaans onderzoek is een uitgebreid overzicht gemaakt van allerlei bijkomende voordelen (zogenoemde collatoral benefits) van beveiligingsmaatregelen. Die voordelen lopen van grotere efficiency in de keten, het reduceren van bepaalde kosten, het verkrijgen van meer inzicht in wat er precies met de lading gebeurt tot het voorkomen van schade en diefstal. Echter, de afweging tussen de kosten van de benodigde investeringen (in bijvoorbeeld wereldwijde tracking & tracing technologie) en de opbrengsten in geld van deze bijkomende voordelen is nog nergens gemaakt. Deze afweging is eigenlijk ook alleen te maken in de specifieke context van een bedrijf en een keten. Een bekend voorbeeld is de claim van Savi Technology dat het voordeel uit het toepassen van de Smart and Secure Tradelane aanpak (wereldwijde tracking & tracing van containers door middel van RFID) op kan lopen tot $400 per container. Samenvattend kan dus gesteld worden dat bedrijven, al of niet met ketenpartners, zelf een afweging moeten maken over kosten en baten van hun veiligheidsbeleid. Voor die afweging is op dit moment weinig referentiemateriaal beschikbaar uit onderzoek of praktijkervaringen. Om bedrijven te helpen gestructureerd met de invoering van beveiligingsmaatregelen in de keten om te gaan, bevat het volgende hoofdstuk een eenvoudig stappenplan.
PROTECT 2005
4
Marktontwikkeling: beveiliging door IT tools
4.1
Inleiding
28 / 94
Informatietechnologie (IT) kan men bij samenwerking inzetten om diverse redenen. Voorbeelden hiervan zijn: - Betere uitwisseling van informatie voor een verbetering in coördinatie van ketenactiviteiten (bv. tracking en tracing waardoor betere verificatie van zendingen mogelijk is), - Beveiliging van informatie (zodat misbruik kan worden voorkomen), en - Betere benutting van informatie om logistieke activiteiten effectiever te plannen (waardoor zendingen zo kort mogelijk risico lopen). Dit hoofdstuk geeft een overzicht van de inzetbaarheid van IT in ketenbeveiliging en de ontwikkelingen van bestaande initiatieven. 4.2
Toepassingsmogelijkheden IT in beveiliging
4.2.1
Lokale beveiliging versus ketenbeveiliging Maatregelen die risico’ s in de logistieke keten kunnen reduceren kunnen worden onderverdeeld in twee categorie:en: 1. Fysieke lokale maatregelen. Dit betreft alle maatregelen die tot doel hebben een specifiek proces of locatie te beveiligen. Voorbeelden hiervan zijn toegangsverlening, CCTV surveillance, infrarood-detectoren. 2. Ketenbeveiligingsmaatregelen. Dit betreft maatregelen die zich richten op de interactie van ketenpartijen om de integriteit bij de uitwisseling van goederen en informatie te waarborgen. Voorbeelden zijn vooraanmelding van zendingen (grensoverschrijdend, maar ook van welke truck hoe laat bij een portier verwacht wordt met welke zending), known shipper certificaten en de fysieke beveiliging van ladingdragers, zoals containers.
4.2.2
Monitoring van ketenbeveiliging Ketenbeveiliging kan worden gezien als een verzameling van control loops die de integriteit van goederen, transportmiddelen en personeel meten en adequaat waarschuwing geven in geval van een afwijking. Idealiter hanteert elke ketenpartij beveiligingschecks om de betrouwbaarheid van zijn logistieke activiteiten te garanderen. Deze checks controleren of de activiteiten verlopen volgens alle gestelde plannen en normen. Dit impliceert dat de behoefte bestaat om alle logistieke activiteiten (die enig beveiligingsrisico kennen) worden gemonitord door control loops. Tracking en tracing zijn voorbeelden van dergelijke control loops die kunnen worden ingezet voor beveiligingsdoeleinden. Elke control loop bestaat uit drie stappen: een sensorfase, een selectorfase en een effectorfase. De sensorfase verzorgt informatie over de actuele staat of het actuele gedrag van een systeem. In de selectorfase worden toekomstige acties bepaald door het systeemgedrag te evalueren ten opzichte van reeds gestelde normen en voorkeuren. Als de sensor aangeeft dat het systeem ander gedrag vertoont dan het gewenste gedrag, is er
29 / 94
PROTECT 2005
sprake van een afwijking. In de effectorfase wordt er het besluit genomen of er deze afwijking tegenmaatregelen nodig heeft en welke dat zijn. Predefined norm
Selector Control function
Deviation from norm
Compare function
Deviation from norm
Selector Control function
Sensor
Effector
Effector
Process
Feed backward control loop
Process
Feed forward control loop
Figuur 9: Feed backward en feed forward control loops (gebaseerd op Van Aken, 1978)
4.2.3
Beheersbaarheid dankzij control loops Het hoofddoel van ketenbeveiliging is het ontwikkelen van control loops die effectief afwijkingen in de beveiliging van logistieke activiteiten identificeren en tegengaan. Het gebruik van control loops bij de modellering van beveiligingsstrategieën kan helpen om de exacte rol van IT in de logistieke keten te verduidelijken. Control loops kunnen hierbij op twee manieren worden ingezet: feed forward loops en feed backward loops (Van Aken, 1978). Feed forward control loops houden in dat een interferentie of verstoring wordt waargenomen bij de input van een proces, waartegen men direct een reactieve maatregel kan inzetten om de interferentie te compenseren. Dit betekent dat de input wordt gecorrigeerd en het proces zoals gepland kan worden uitgevoerd. Een voorbeeld van een feed forward control loop is de inspectie van een containerzegel. Indien de zegel niet volledig in orde is kan men besluiten om de inhoud van de container te controleren (hetzij via scan hetzij door middel van openmaken). Feed backward control loops bestaan uit het meten van de output en condities van een proces, gevolgd door het meten van de resultaten met een norm. Deze control loops verbeteren de wijze waarop een proces is vormgegeven. Cruciaal is dat actie wordt genomen voordat een (volgende) meting plaatsvindt. De (reactieve) procesverbetering leidt dus niet tot verbetering van de eerdere resultaten, maar wel voor de toekomstige output. Voorbeeld van een feed backward control loop zijn het gebruik van ISO 28000 procedures voor ketenbeveiligingsmanagement en wet- en regelgeving, zoals ISPScode, security-richtlijnen van ICAO en ADR/ADNR.
4.3
Overzicht van IT IT is een belangrijk element in het faciliteren van de security control loops. Het hoofddoel van deze control loops is om ketentransparantie (‘supply chain visibility’ ) te creëren en hiermee direct te kunnen reageren op ongewenste of verdachte gebeurtenissen in de keten. Wolfe (2002) stelt dat er twee manieren zijn om deze ketentransparantie te verkrijgen: 1. ‘Event driven tools’ , ofwel middelen die de status van fysieke activiteiten omzetten in bruikbare data voor informatiesystemen. Er bestaan hierbij vier categorieën:
30 / 94
PROTECT 2005
a.
Zegels voor ladingdragers. De containerzegel is momenteel de meest gebruikte zegel voor ladingdragers. Standaard is de ‘bolt container seal’ die ‘slechts’ uit hoogkwaliteit staal bestaat. Electronische containerzegels bestaan er in verschillende varianten. De permanente e-tag (volgens ISO 10374) met allerlei data over de container, de ‘eseal supply chain tag’ (volgens ISO 17363) met allerlei data over de lading c.q. zending, en de ‘e-seal shipping line tag’ (volgens ISO 18185) die vooral herkenningsdata voor overslagprocessen in de zeehavens bevat.
Figuur 10: Containerbeveiliging met een e-Seal supply chain tag (COPAS, 2005)
b. Beveiligingssensoren voor de monitoring van lading. Hieronder vallen zowel sensoren die de conditie van lading in de gaten houden als scantechnieken (bv. X-ray) waarmee de douane de inhoud van containers en andere ladingdragers kan checken, c. Wide Area Communication is een communicatieplatform. Het kan gebruik maken van bijvooreeld GPS- en GSM netwerken. Op een WAC kunnen sensoren, transactiesystemen en monitoringssystemen geïntegreerd worden om zendingen te volgen. d. Biometrische en ladingidentificatie voor de (toegangs-)autorisatie van personeel en bezoekers. Hieronder vallen o.a. vingerafdrukken, gezichtsherkenning, irisscanning, bio-geometrie. 2. Informatiesystemen die ketendata gebruiken om de status van beveiligings- en logistieke prestatieindicatoren te volgen en erop te reageren. Deze systemen ondersteunen de ‘selector’ of ‘effector’ fase van het security control systeem. RFID kan hier een effectieve ondersteunende rol in spelen. Op het gebied van ketenbeveiliging kunnen dergelijke informatiesystemen worden ingezet in alle fasen van de goederenstroom (TRB, 2003): a. Bepaling van productherkomst (b.v. fabriek, distributiecentrum); b. Real-time tracking van transport; c. Tracing van zendingen achteraf; d. Exportbeheer (documenten, fysieke zegeling); e. Warehousemanagement; f. Productaankomst bij bestemming.
PROTECT 2005
31 / 94
Figuur 11: Informatie monitoring systeem voor ketenbeveiliging van Euteltracs
4.4
Integratie van technologieën in beveiligingsinitiatieven De toegenomen nadruk van beveiliging van goederentransport heeft geleid tot een groot aantal ontwikkelings- en demonstratieprojecten ten aanzien van de techniek voor logistieke beveiliging. De programma’ s en initiatieven kunnen worden onderverdeeld naar de volgende categorieën (gebaseerd op I-95, 2004): 1. Fysieke beveiligingsapparaten. Deze apparaten worden ontwikkeld om de goederenstroom fysiek beter te beveiligen. Voorbeelden van programma’ s zijn: a. Operation Safe Commerce; b. Smart and Secure Tranelanes (2002); 2. Beveiligingsmetingen voor de risicoanalyse van publieke en private middelen (inclusief infrastructuur). Voorbeelden zijn: a. ISO 20858 en de ISPS Toolkit ontwikkeld door het Havenbedrijf Rotterdam NV; b. US Carrier Initiative Program; c. VITAAL; 3. Pre-screening en Pre-processing systemen om lading te screenen en zendingsinformatie te analyseren om efficiënter risicovolle zendingen te selecteren. Voorbeelden zijn: a. Container Security Initiative (CSI); b. Customs Trade Partnership Against Terrorism (C-TPAT); c. Free and Secure Trade (FAST) initiative; 4. Informatie-uitwisselingsprogramma’ s om goederenstromen effectiever te faciliteren. Voorbeelden zijn: a. Automated Commercial Environment; b. Smart and Secure Trade Lanes (2005); c. Cargo*Mate; 5. Opleiding, onderzoek en creëren van bewustzijn. a. PROTECT
PROTECT 2005
4.5
32 / 94
Ontwikkeling in IT voor supply chain security Voor de analyse van de ontwikkeling van IT kan gebruik worden gemaakt van de levenscyclus van producten. Gardner & Dataquest zien in de positionering van IT in deze levenscyclus dat IT voor beveiliging duidelijk in opkomst is. Tabel 10 geeft dit heironder weer.
Figuur 12: Levenscyclus van goederentransportsystemen (Gardner & Dataquest, 2002)
Voorbeelden van ontwikkelingen in IT voor transportbeveiliging zijn openbare basisinfrastructuur (public key infrastructure), bluetooth communicatie, WAP communicatie, biometrische identificatiesystemen, actieve sensoren, zendingsidentificatie (identity services en e-tags). De behoefte aan ketenbeveiliging in de EU staat centraal in het adviesrapport van DNV (2005) aan de Europese Commissie. Dit rapport adviseert dat ketenbeveiliging in de periode 2006-2008 vrijwillig zou moeten zijn. Bedrijven kunnen dan deze periode gebruiken om de implicaties van de eisen van ketenbeveiliging voor hun managementsysteem te onderzoeken en door te voeren. Ketenbeveiliging zou dan pas vanaf 2009 verplicht worden gesteld voor import- en exportstromen. Figuur 13 toont dat dit implementatieproces dus op andere wijze wordt geadviseerd dan de ISPS code werd. De ISPS code werd door de EU (via 724/2004) op korte termijn verplicht gesteld vanwege de hoge beveiligingseisen die gesteld moesten voor intercontinentaal zeetransport. Deze vooral technische eisen waren voornamelijk gericht op de beveiliging van schepen en van zeeterminals. EU beleid inzake ketenbeveiliging grijpt op alle typen partijen van de logistieke keten in. Daarnaast zijn de eisen voor ketenbeveiliging niet alleen technisch van aard, maar hebben zij ook een procedureel karakter. Daarmee hebben ze veel meer betrekking op het managementsysteem van een bedrijf. Als gevolg van dit verschil is daarom een langere gewenningsperiode gewenst dan bij de ISPS-code.
33 / 94
PROTECT 2005
Bron: DNV (2005)
Figuur 13: Implementatiecurve van de ISPS-code (links) en ketenbeveiliging (rechts)
De volgende elementen van ketenbeveiliging (zoals door DNV geadviseerd) zijn aan IT gerelateerd: 1. Verzegelen van lading; 2. Monitoren van zendingen voor de ondersteuning van beveiligingsprocedures; 3. Fysieke beveiliging van locaties; 4. Fysieke toegang tot locaties; 5. IT beveiligingsbeleid voor de toegang tot bedrijfssystemen (inclusief logistieke planning en monitoring van zendingen); 6. Training van IT personeel dat toegang heeft tot digitale informatie, om het naleven van beveiligingsprocedures te garanderen; 7. Inspectie door geautoriseerde partijen; 8. IT ondersteuning van het security awareness program. 4.6
IT bijdrage aan efficiëntie Er bestaat een sterke relatie tussen ketenbeveiliging en ketencoördinatie. Niet alleen werken de controlleer- en monitoringssystemen vrijwel volgens dezelfde principes, toepassing van IT zorgt op beide gebieden voor meer transparantie. Daarmee kan het dubbel voordeel bieden qua efficiëntie en effectiviteit in de benutting ervan. Lee & Whang (2005) geven aan dat een toename in containerinspecties (a.g.v. CSI) de logistieke betrouwbaarheid in mondiale goederenstromen is afgenomen. Deze lagere betrouwbaarheid bestaat uit (1) een vergroting van onzekerheid of een zending wordt gescand bij een beveiligingscontrole, (2) toename in doorlooptijd als gevolg van een extra activiteit in de logistieke keten, (3) een toename in variabiliteit in wachttijd bij de beveiligingscontroles omdat er meer containers moeten worden gecontroleerd. Aan de hand van een numeriek voorbeeld tonen zij dat het concept van Smart and Secure Trade lanes (STT) kan bijdragen aan ketenefficiëntie. STT maakt ten eerste elektronische uitwisseling van Bill of Lading informatie mogelijk in hetzelfde format als de Advanced Manifest Rule (AMR) voorschrijft. De voordelen (d.w.z. kostenbesparingen) zijn gerelateerd aan het niveau waarop een verlader al een geautomatiseerd bedrijfsvoeringssysteem heeft. Ten tweede, het voldoen aan beveiligingseisen van douane-instanties maakt het mogelijk om het risico van beveiligingscontrole te verminderen. Indien alle ketenpartijen een hoog beveiligingsniveau hanteren, zal een risico-analyse bij de douane de specifieke goederenstroom als betrouwbaar karakteriseren. Ten derde zorgt een vroegtijdige beschikbaarheid van zendingsinformatie ervoor dat ketenpartijen zelf ook de
PROTECT 2005
34 / 94
goederenstroom beter kunnen monitoren en beheersen. Tevens wordt de logistieke druk om deadlines te halen (bijvoorbeeld bij afvaart van een vrachtschip) verminderd door het vroegtijdig leveren van zendingsinformatie. Tenslotte maken STT en AMR het mogelijk om de ontvanger eerder op de hoogte te stellen dat een container geïnspecteerd wordt. Dit vermindert een deel van de onzekerheid over de doorlooptijd van de zending. Tabel 6 geeft een samenvatting van deze voordelen. Tabel 6: Categorieën kostenvoordeel binnen SST (Lee & Whang, 2005).
4.7
Conclusie De behoeftes van toepassing van IT in ketenbeveiliging kunnen gestructureerd worden geanalyseerd volgens de control loops. De ‘feed forward control loops’ geven weer hoe IT ingezet kan worden voor reactieve maatregelen. De ‘feed backward control loops’ hebben betrekking op structurele verbetering van het hele systeem door procedures en regels te verbeteren. Momenteel worden beveiligingsconcepten in de toepassing van security control loops ontwikkeld getest in verschillende initiatieven en programma’ s. Smart en Secure Trade lanes is een voorbeeld van een privaat initiatief waarin tracking en tracing van zendingen per container plaatsvindt van laden tot lossen. Operation Safe Commerce is een groot onderzoeksprogramma waarin Amerikaanse havens samenwerken met de industrie om een vele soorten ketenbeveiligingsconcepten te ontwikkelen en te testen. Op dit moment bestaat er geen duidelijk overzicht van private beveiligingsbehoeften van logistieke ketenpartijen aan ontwikkeling en/of toepassing van IT in de logistieke keten. WCO, ISO en Europese Commissie staan midden in het beleidsproces om de publieke beveiligingsbehoeften te specificeren en de implicaties ervan te onderzoeken. WCO en ISO hebben al wel in abstracto de eisen ontwikkeld waaraan beveiligingsconcepten zouden moeten voldoen. Maar hierin specificeren zij niet welk type beveiligingsmaatregelen ingezet zouden moeten worden en welke informatie gedeeld zou moeten worden tussen ketenpartijen. Het adviesrapport van DNV (2005) aan de Europese Commissie geeft al wel concrete beveiligingsmaatregelen weer waarbij IT ondersteuning nodig is.
PROTECT 2005
35 / 94
Vanuit ketenmanagement is het ontwikkelen van een informatiearchitectuur een van de belangrijkste uitdagingen. Op het hoogste niveau moet de architectuur beveiligingsdoelen en behoeftes identificeren voor de verschillende ketenpartijen. Dit maakt voorts een ontwerp van functionele eisen mogelijk voor de uitwisseling van informatie over logistieke beveiligingsaspecten. Deze eisen leggen de basis voor de keuze van type informatiesysteem, technische interfaces tussen ketenpartijen en verschillende in te zetten standaarden. Als gevolg van het feit dat de functionele eisen van een informatiesysteem voor ketenbeveiliging nog in ontwikkeling zijn, is het op dit moment nog niet mogelijk om concreet aan te geven waar de exacte (logistieke) voordelen liggen bij beveiligingsmaatregelen. Het is duidelijk dat een toename in transparantie en ‘visibility’ logistieke managers kan helpen. Maar het is nog onduidelijk of de financiële voordelen groter zullen zijn dan de investeringskosten.
36 / 94
PROTECT 2005
5
Praktijk: Wat verwacht Logistiek Nederland?
5.1
Inleiding Hoe gaan verladers en logistieke dienstverleners momenteel om met ketenbeveiliging? En welke behoeftes hebben zij voor de nabije toekomst? Deze twee vragen staan centraal bij de analyse van de logistieke sector in Nederland. Om deze vragen te beantwoorden is een enquête gehouden onder logistieke partijen die in Nederland actief zijn. Daarnaast is een bijeenkomst georganiseerd om van een verlader en van een dienstverlener te horen hoe zij beveiliging momenteel aanpakken en om te discussiëren over meningen en behoeftes van de deelnemers.
5.2
PROTECT Enquête 2005
5.2.1
Respondenten De enquête is gehouden van mei tot en met augustus 2005. In totaal hebben 80 respondenten bruikbare input voor de enquête geleverd. Deze respondenten bestaan uit 40 verladers en 38 logistieke dienstverleners (LDVs), inclusief weg-, zee en luchttransporteurs, expediteurs, terminaloperators en afhandelaars. Twee andere respondenten betreffen een TAPA auditor en een gemeente. Logistiek managers vertegenwoordigen meer dan de helft van de respondenten (circa 58%). Security managers hebben een aandeel van ongeveer 22%. Bij de verladers is het aandeel logistiek managers echter beduidend hoger dan bij de LDVs (67% versus 48%). Figuur 14 toont dat bij de LDVs vooral meer security managers en meer directeuren de enquête hebben ingevuld. Wellicht speelt hier het verschil in bedrijfsgrootte een rol (zie Figuur 14), waardoor de taken per functie anders zijn verdeeld. Verladers (n = 40)
LDVs (n = 38)
Figuur 14: Respondenten naar functie
De respondenten vertegenwoordigen een variatie aan bedrijfsgroottes. Opvallend is het grote aandeel van multinationals (>500 werknemers) bij de verladers, terwijl de LDVs vooral goed vertegenwoordigd zijn in de categorieën van 21 tot 100 en de 100 tot 500 werknemers.
37 / 94
PROTECT 2005
Tabel 7: Respondenten naar bedrijfsgrootte
1-20 werknemers 21 - 100 werknemers 100 - 500 werknemers
Verladers 10,0% (4) 30,0% (2) 17,5% (3)
LDVs 5,3% (4) 34,2% (2) 44,7% (1)
> 500 werknemers
42,5% (1)
15,8% (3)
De respondenten zijn afkomstig uit verschillende industrieën. De duurzame consumentenproducten en hightech, groothandel, chemie en voeding zijn het meest vertegenwoordigd. In de groep logistieke dienstverleners (LDVs) is vanzelfsprekend de categorie ‘transport algemeen’ ruim vertegenwoordigd. Figuur 15 toont de herkomst van de respondenten naar type industrie. In de analyse is meegenomen dat een bedrijf in meerdere industrieën actief kan zijn. Het aandeel verladers dat aangeeft actief te zijn in de categorie ‘transport algemeen’ betreffen verladers die de distributie onder eigen beheer hebben. 25,0% 20,0% 15,0% 10,0% 5,0%
D uu r
za m
ac ie m Fa r
Te xt ie l
ee n
rt a
lg em
et aa l M Tr an sp o
he id jv er
Bo uw ni
Vo ed in
g
en
C
sn el lo
pe r
s
ie he m
l an de ilh
de ta n
el e an d
ot h G ro
e
co ns um
pt ie pr
od .
&
hi gh
te ch
0,0%
Verladers
LDVs
Figuur 15: Herkomst respondenten naar type industrie
Palletvervoer blijkt met 63,8% onder de respondenten het meest ingezet (zie Figuur 16). Transport van stukgoed komt met 55% op een goede tweede plaats. Hierbij is rekening gehouden met het feit dat een logistieke partij meerdere typen ladingdrager kan gebruiken. Containertransport bezet met 38,8% een derde plaats. Vervolgens zijn rolcontainers met 20% en bulktransport met 17,5% vertegenwoordigd.
38 / 94
PROTECT 2005
35% 30% 25% 20% 15% 10% 5% 0% Pallets
Stukgoed (dozen/kratten)
Containers
Verladers
Bulk
Rolcontainers
LDVs
Figuur 16: Inzet van ladingdragers
Ten slotte hebben verladers een wereldwijde oriëntatie (59%) of zijn nationaal georiënteerd (20,5%). Slechts 13% van de respondenten bedient Europa en slechts 8% de Benelux. Logistieke dienstverleners zijn voornamelijk georiënteerd op Europa (37%) en wereldwijd transport (32%). Nationale focus heeft net als de Benelux een aandeel van 16%. 5.2.2
Terrorisme versus criminaliteit De dreiging van terrorisme schat men over het algemeen lager in dan de gevaren van criminaliteit. Bij terrorisme zien verladers en LDVs alleen een aanslag op zee- en luchthavens als een bedreiging (met score >2,5). Bij criminaliteit daarentegen scoren diefstal van buitenaf op locatie en tijdens overslag en transport hoog (>3). Twee andere gevaren, IT criminaliteit en diefstal van transportvoertuigen, scoren hoger dan 2,5. Een verklaring hiervoor is wellicht dat criminaliteit voor verladers en LDVs al sinds mensenheugenis een managementissue is, terwijl het goederentransport door Nederland nog nauwelijks serieus te maken heeft gehad met terroristische aanslagen. Hierdoor schat men criminaliteit als een hoger bedrijfsrisico in dan terrorisme. Aanslag op zee/luchthavens Gevaar van afgesloten gebied agv ramp of aanslag Aanslag op energie-, water- en/of gasnetwerken Voorbereiding/uitvoering terrorisme van buiten af Aanslag op weginfrastructuur Aanslag op waterinfrastructuur (sluizen, bruggen) Aanslag op locatie (fabriek/DC) Aanslag op railinfrastructuur Voorbereiding/uitvoering terrorisme door eigen personeel
1
2
Verladers
Figuur 17: : Verwachte gevaar van terrorisme
3
Gevaar
LDVs
4
5
39 / 94
PROTECT 2005
Criminaliteit van buiten af Diefstal van lading tijdens transport en overslag Diefstal op locatie (fabriek, DC) IT criminaliteit / digitale inbraak Diefstal van voertuig tijdens transport en overslag Fraude Criminaliteit door eigen personeel Opzettelijke beschadiging op locatie Smokkel (goederen) Opzettelijke beschadiging tijdens transport en overslag Smokkel (mensen)
1
2
Verladers
3
Gevaar
4
LDVs
Figuur 18: Verwachte gevaar van criminaliteit
5.2.3
Is beveiliging een kritische concurrentiefactor? Een kleine meerderheid van alle respondenten vindt dat beveiliging al een kritische concurrentiefactor voor het eigen bedrijf is. LDVs zien beveiliging in het kader van criminaliteit echter duidelijker als concurrentiefactor dan verladers. Circa 69% van de LDVs vindt het een concurrentiefactor, waarvan 41% dit alleen voor criminaliteit meent. Bij de verladers stelt slechts 45% dat beveiliging een concurrentiefactor is. Hierbij heeft criminaliteit een aandeel van slechts 10%. De 28% van LDVs die beveiliging voor zowel criminaliteit als terrorisme belangrijk acht komt vrijwel overeen met het aandeel van 27% bij de verladers. Opvallend is ook dat al 8% van de verladers beveiliging belangrijk acht in het kader van terrorisme. Nadere analyse toont dat dit met name de multinationals met wereldwijde distributie betreft. Het is aannemelijk dat het hier vooral verladers betreft die exporteren naar de Verenigde Staten.
Figuur 19: Is beveiliging een kritische concurrentiefactor voor bedrijven?
5
PROTECT 2005
40 / 94
Meer dan een kwart van de verladers weet nog niet hoe belangrijk beveiliging voor het bedrijf is. Met 14% is het aandeel hiervoor bij LDVs duidelijk lager. Wellicht komt dit doordat LDVs meer de eisen van verladers volgen en dat zij al veel eerder geconfronteerd zijn met beveiligingseisen in het kader van criminaliteitspreventie. Figuur 20 toont dat een meerderheid van de respondenten in de logistieke organisatie al rekening houdt met aanslagen. Circa 20% van de verladers en LDVs doet dit vrijwillig om eventuele schade te beperken. Ongeveer 4% doet dit op vraag van de klant of opdrachtgever. De eis om te voldoen aan wettelijke verplichtingen levert een duidelijk verschil tussen verladers en LDVs. Daar waar 33% van de verladers al rekening houdt met aanslagen, is het aandeel voor LDVs met 45% beduidend groter. Wellicht speelt het hier een rol dat het risico van aanslagen per markt kan verschillen. Daar waar een verlader zich op enkele markten richt, voeren LDVs logistieke activiteiten uit voor meerdere klanten die ieder hun markt(en) hebben. LDVs komen met meerdere markten in aanraking, waardoor ze aan meer verplichtingen zouden moeten voldoen. Opvallend is dat een groot aandeel bedrijven nog geen rekening met aanslagen houdt in de logistieke organisatie. Dit geldt voor 41% van de verladers en 31% van de LDVs.
Figuur 20: Houden bedrijven in de logistieke organisatie rekening met aanslagen?
5.2.4
Beveiligingsmaatregelen Verladers en LDVs verschillen in het type beveiligingsmaatregelen dat zij inzetten (zie Figuur 21). Verladers passen incidentenregistratie (55%) het meest toe, gevolgd door identificatie van al het in/uitgaand personeel (50%). LDVs zetten screening bij werving en selectie van nieuw personeel (66%) als meeste in, gevolgd door registratie van al het in/uitgaande bezoekers (53%) en de incidentenregistratie (53%).
41 / 94
PROTECT 2005
Welke organisatorische security maatregelen heeft u getroffen of gaat u op korte termijn treffen? 70% 60% 50% 40% 30% 20%
Verladers
Extra bewakingspersoneel
Verificatie van alle in/uitgaand personeel
Verificatie van alle in/uitgaande bezoekers
Screening bij werving en selectie
Registratie van alle in/uitgaande bezoekers
Registratie van alle in/uitgaand personeel
Identificatie van alle in/uitgaande bezoekers
Incidentenregistratie binnen bedrijf
0%
Identificatie van alle in/uitgaand personeel
10%
LDVs
Figuur 21: Actueel toegepaste organisatorische security maatregelen
Toegangsbeveiliging kan op drie niveaus plaatsvinden. De lichtste vorm is identificatie, waarbij elke bezoeker zichzelf moet identificeren. Bij verificatie controleert de portier of de bezoeker ook daadwerkelijk op het terrein moet zijn. De zwaarste beveiligingsvorm, registratie (inclusief de voorgaande identificatie en verificatie), zorgt dat achteraf altijd kan worden opgezocht wie waarom toegang tot een terrein heeft gekregen. Figuur 21 toont dat verladers identificatie van personeel en bezoekers vaker toepassen dan registratie en verificatie. Maar dit figuur toont ook dat LDVs meer registratie toepassen dan identificatie en verificatie. Er bestaan ook duidelijke verschillen in de ideeën van verladers en LDVs over de logistieke beveiligingsmaatregelen. Uit Figuur 22 blijkt dat verladers de voorkeur geven aan samenwerking met ‘known suppliers’ (57%), ofwel betrouwbare toeleveranciers, en inzet van beveiligingsprocedures in de logistiek (47,4%). LDVs geven de voorkeur aan audits aan controle op naleving van beveiligingsprocedures (60,5%) en beveiligingsprocedures (57,9%).
42 / 94
PROTECT 2005
Welke logistieke security maatregelen wilt u inzetten? 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0%
Extra voorraden
Extra voorraadlocaties
LDVs
Risicomanagement via dual & multiple sourcing
Audits voor naleviing beveiligingsprocedures bij ketenpartners
Verladers
IT voor ketentransparantie
Logistiek security draaiboek
Samenwerking met known customers
Certificering van betrouwbare partijen
Audits voor naleving procedures
Beveiligingsprocedures in logistiek
Samenwerking met known suppliers
0,0%
Figuur 22: Verwachting van in te zetten logistieke security maatregelen.
Opvallend zijn de bijzonder lage scores van logistieke beveiligingsmaatregelen zoals het strategisch verhogen van de voorraden en/of het aantal voorraadlocaties. Met name het Amerikaanse onderzoeksinstituut MIT pleit al sinds 9/11 dat bedrijven een grotere behoefte hebben om vanuit beveiligingsperspectief hun distributienetwerk robuust te krijgen door meer voorraden of meer voorraadpunten. Dit blijkt voor de Nederlandse verladers helemaal niet te gelden. 5.2.5
Voor- en nadelen van beveiligingsmaatregelen Beveiligingsmaatregelen kunnen ingrijpen op de logistieke prestaties. Daarom is het belang onderzocht dat Nederlandse bedrijven hechten aan logistieke eisen en welke voor- en nadelen van beveiligingsmaatregelen men hiervoor verwacht. LDVs hechten meer belang aan het voldoen aan logistieke eisen dan verladers. Dat is de voornaamste conclusie bij de vraag hoeveel belang men hecht aan logistieke eisen. Tabel 8 toont dat over het algemeen LDVs logistieke eisen waarderen met een 4,06 op een schaal van 1 tot 5. Daarentegen scoren verladers slechts een gemiddelde van 3,58. Dit verschil komt overeen met het feit dat met name LDVs worden afgerekend op hun logistieke prestaties. Daarmee is hun belang om te voldoen aan logistieke eisen hoger. Logistieke kwaliteit is voor verladers de belangrijkste logistieke eis. Hieronder valt leverbetrouwbaarheid. Samen met het aspect ‘tijd’ , waaronder levertijd, doorlooptijd en reactiesnelheid) waarderen verladers het met meer dan 4 punten. LDVs hechten de meeste waarde aan de doorlooptijd die ze hun klant kunnen bieden. Vanzelfsprekend stellen ze daarmee ook een hoge waarde aan de betrouwbaarheid van hun diensten. Transport- en logistieke kosten acht men op de derde plaats ook van duidelijk belang. De lage standaarddeviaties tonen dat LDVs vrijwel gelijkgezind zijn
43 / 94
PROTECT 2005
over de logistieke prioriteiten. Ten slotte scoort geconditioneerd transport relatief laag. Dit komt omdat veel respondenten hier niet mee te maken hebben. Dit verklaart hier de relatief hoge standaarddeviatie. Tabel 8: Belang van logistieke eisen voor de respondenten (van 1: laag belang tot 5: groot belang)
Logistieke kwaliteit (leverbetrouwbaarheid) Tijd (levertijd, doorlooptijd, reactiesnelheid) Transport- en logistieke kosten Geconditioneerd transport Algemeen gemiddelde
Verladers Gem. Std. 4,52 (1) 1,00 4,06 (2) 1,19 3,69 (3) 1,00 2,07 (4) 1,10 3,58
LDVs Gem. Std. 4,66 (2) 0,75 4,74 (1) 0,58 4,32 (3) 0,70 2,50 (4) 1,59 4,06
Onzekere doorlooptijd van logistieke activiteiten is de grootste beveiligingszorg van verladers. Conform tabel 2 hechten zij het grootste belang aan leverbetrouwbaarheid en beveiligingsmaatregelen zijn hiervoor een groot gevaar. Daarom waarderen verladers onzekere doorlooptijd met 3,94 op schaal van 1 tot 5 (zie Figuur 23). De waardering van 3,39 voor hogere voorraden als nadeel lijkt een direct gevolg van deze verwachte onzekerheid. Hogere personeelskosten, administratieve lasten en langere doorlooptijd zien verladers als andere belangrijke nadelen. Deze aspecten scoren ook hoger dan 3,5. LDVs waarderen de beveiligingskosten als grootste knelpunt. Hogere personeelskosten (3,87), hogere investeringskosten voor beveiligingsapparatuur (3,76) en hogere administratieve kosten (3,49) zijn de drie belangrijkste nadelen. Opvallend verschil tussen verladers en LDVs is te vinden bij onduidelijkheid vanwege conflicterende regelgeving. Daar waar verladers onduidelijkheid met 3,47 als duidelijk relevant waarderen, lijken LDVs met een gemiddelde van 2,51 hier duidelijk minder problemen te zien.
Terrorisme: Wat voor nadelen hebben (zullen) security maatregelen voor u (hebben)? Onzekere doorlooptijd Hogere personeelskosten Hogere administratiekosten/-lasten Langere doorlooptijd Onduidelijkheid vanwege conflicterende regelgeving Hogere investeringskosten Grotere voorraden Meer logistieke afstemming 1,0
2,0
3,0 Verladers
Figuur 23: Verwachte nadelen van logistieke anti-terrorismemaatregelen (van 1: laag belang tot 5: groot belang)
4,0 LDVs
5,0
44 / 94
PROTECT 2005
Betere reputatie en behoud van klanten zijn de belangrijkste voordelen van invoering van beveiligingsmaatregelen (Figuur 24). Verladers waarderen een betere reputatie met een 4,00, terwijl LDVs een gemiddelde waardering van 4,03 geven. Over alle respondenten heeft een betere reputatie de laagste standaard deviatie, namelijk van 0,97. Dit betekent dat de respondenten eensgezind zijn over deze waardering. Voor alle andere voordelen ligt de standaarddeviatie tussen 1,11 en 1,58. Hier zijn de meningen van de respondenten dus meer verdeeld. Het behoud van klanten waarderen verladers ten slotte met 3,97 en LDVs met 3,94.
Terrorisme: Welke voordelen hebben (zullen) security maatregelen voor u (hebben)? Betere reputatie / imago Behoud van klanten Hogere logistieke efficiency Zekere doorlooptijd Betere relatie met ketenpartijen Minder overige criminaliteit Kortere doorlooptijd Lagere verzekeringspremies Betere relatie met overheidsinstanties Minder diefstal 1,0
n = 80
2,0
Verladers
3,0
4,0
LDVs
Sept 2005
Figuur 24: Verwachte voordelen van logistieke ant-terrorismemaatregelen (van 1: laag belang tot 5: groot belang)
Op de derde en vierde plaats scoren verladers een verbetering in efficiency en zekere doorlooptijd ook met een hogere waarde dan 3,5. Men verwacht een hogere efficiency als gevolg van een toename van ketentransparantie. Het uitwisselen van meer lading- en zendingsinformatie kan immers niet alleen gebruikt worden voor beveiligingsdoeleinden, maar ook voor het verbeteren van de logistieke afstemming tussen partijen. Verder heeft het voldoen aan beveiligingscriteria van overheden tot gevolg dat importstromen een lager risico lopen op (douane)controle. Dit betekent dat de doorlooptijd van internationale zendingen betrouwbaarder kan worden gemaakt met behulp van verhoogde beveiliging. LDVs verwachten op de derde plaats (3,67) dat extra beveiligingsmaatregelen tot minder diefstal leidt. Vermindering van overige criminaliteit heeft hierbij ook een hoge score. Andere hoog gewaardeerde voordelen (>3,5) zijn een betere relatie met ketenpartijen, zekere doorlooptijd en logistieke efficiency. Ook hier verwacht men blijkbaar een toename van ketentransparantie.
5,0
45 / 94
PROTECT 2005
5.2.6
Beveiligingskosten Veel respondenten weten nog niet of zij bereid zijn om voor beveiligingsmaatregelen te betalen. De helft van de verladers en 43% van de LDVs weten dit nog niet. Het groeiende belang van terrorismebestrijding blijkt al wel uit de 35% van de verladers en de 27% van de LDVs die al wel bereid zijn te betalen (zie Figuur 25).
Verlader
LDVs Ja 35%
W eet niet 50%
Ja 27% W eet niet 43%
Nee, de kosten van security wegen niet op tegen het te lopen
Nee, de kosten van security wegen niet op tegen het te lopen
bedrijfsrisico
bedrijfsrisico
21%
30%
Figuur 25: Bereidheid om voor beveiligingsmaatregelen te betalen
Figuur 26 toont dat bijna de helft van de LDVs (47%) nog niet weet of de extra beveiligingskosten kunnen worden gecompenseerd. Het aandeel ligt hiervoor bij verladers op ongeveer 36%. Slechts een kwart van de respondenten denkt de kosten te kunnen compenseren dankzij voordelen in ketentransparantie of een lagere premieverhoging in de nabije toekomst. Ongeveer 36% van de verladers en 30% van de LDVs denkt nu al de extra kosten niet te kunnen compenseren.
Figuur 26: Verwachte compensatie van de kosten voor anti-terroristische maatregelen
46 / 94
PROTECT 2005
Een meerderheid van de respondenten wil volgens Figuur 27 de extra beveiligingskosten laten dekken door anderen. Circa 42% van de verladers en maar liefst 66% van de LDVs willen de kosten doorberekenen aan de klant of opdrachtgever. Met name verladers denken moeite te hebben om de extra kosten door te berekenen. Dit blijkt uit de 40% die hiertoe geen mogelijkheid ziet.
Verlader
LDV Nee 16% Ja, doorberekenen aan klant / opdrachtgever 42%
Nee 40%
Ja, op andere wijze 3%
Ja, afwentelen op leveranciers 15%
Ja, op andere wijze 13%
Ja, afwentelen op leveranciers 5%
Ja, doorberekenen aan klant / opdrachtgever 66%
n = 80 Sept 2005
Figuur 27: Verwachte dekking van de beveiligingskosten door andere partijen
Conclusie over de enquêteresultaten De enquête toont aan dat beveiliging een kritische concurrentiefactor is geworden. Adequate logistieke beveiliging kan leiden tot behoud van een goed imago, behoud van klanten, een hogere efficiency, meer zekerheid in doorlooptijd en minder diefstal. De dreiging van terrorisme schatten de respondenten over het algemeen lager in dan de gevaren van criminaliteit. Uit de enquête blijkt echter wel dat de respondenten steeds meer (logistieke) aandacht geven aan terrorisme. Circa 35% van de verladers en 28% van de LDVs vindt al dat anti-terrorismebeveiliging een kritische concurrentiefactor is. Meer dan een kwart van de verladers (28%) weet nog niet hoe belangrijk beveiliging voor de logistiek van het bedrijf is, 27% beweert dat het niet belangrijk is en 41% houdt nog geen rekening met anti-terrorismebeveiliging. Van de LDVs weet circa 14% nog niet of het een kritische concurrentiepositie is, 17% beweert nog van niet, en 31% houdt nog geen rekening met anti-terrorismebeveiliging. De voorlichtende rol van PROTECT dient om bedrijven beter inzicht te geven in de ontwikkelingen op het gebied van beveiliging. Verder moet PROTECT onderzoeken welk effect deze ontwikkelingen hebben op de logistieke prestaties van bedrijf en keten. De enquête geeft ook aan dat verladers en LDVs nog niet duidelijk kunnen inschatten wat de kosten en baten van beveiligingsmaatregelen zijn. Door het nog ontbreken van een duidelijk overzicht van verplichtingen en vrijwillige beveiligingsprogramma’ s is de bereidheid om hiervoor te betalen nog laag. Ook weten veel partijen nog niet of zij de kosten kunnen compenseren. De enquête illustreert hiermee de behoefte van Logistiek Nederland aan de (financiële) impact van de verschillende (komende) verplichtingen en programma’ s. Eén van de doelen van PROTECT is om dit te onderzoeken.
PROTECT 2005
5.3
47 / 94
Discussiemiddag SCM Netwerkbijeenkomst Op 2 juni 2005 organiseerde de EVO de SCM Netwerk bijeenkomst over ‘Beveiliging van logistieke ketens’ . Deze bijeenkomst vond plaats in het kader van het project PROTECT waaraan de EVO actief deelneemt. Het doel van PROTECT is de ontwikkeling van strategieën voor logistieke beveiliging van internationale ketens waarin Nederlandse partijen een belangrijke rol spelen. Participanten in PROTECT zijn Erasmus Universiteit Rotterdam, TNO, Havenbedrijf Rotterdam N.V., Douane, Buck Consultants International, EVO, TLN en NDL. De heer Ruijgrok van TNO opent de bijeenkomst. Vervolgens bespreekt Dhr. Becker van TNO de onderzoeksopzet en de eerste resultaten van PROTECT. Daarna vertellen Dhr. Noordegraaf van Shell en dhr. Clauwaert van ABX Logistics hoe hun bedrijven de beveiliging in hun logistieke keten waarborgen. Middels een ruime gelegenheid voor discussie kunnen de deelnemers niet alleen vragen stellen, maar ook bespreken welke vragen zij hebben over supply chain security en bij wie zij hiervoor kunnen zijn.
5.3.1
Dhr. Noordegraaf (Shell) - Security in de Logistieke keten Dhr. Noordegraaf is medewerker Shell Bedrijfsbeveiligingsdienst en Port Facility Security Officer voor Shell Nederland Raffinaderij BV en Shell Nederland Chemie BV te Pernis, Moerdijk en Europoort. Wanneer men over security praat, is het van groot belang onderscheid te maken tussen beveiliging en veiligheid. Beveiliging (‘security’ ) betreft het treffen van maatregelen om opzettelijk nadelig handelen te voorkomen of de gevolgen daarvan te minimaliseren. Veiligheid (‘safety’ ) gaat over het treffen van maatregelen om onopzettelijk nadelig handelen te voorkomen of de gevolgen daarvan te minimaliseren Bij de beveiliging in de logistieke keten lag voorheen nadruk op criminaliteitsbestrijding, zoals het tegengaan van diefstal, verduistering, interne fraude, externe fraude (o.a. spookfakturen), sabotage, omkoping (integriteit), IT-security, bedrijfsspionage enzovoorts. Sinds 9/11/2001 is er ook aandacht ontstaan voor de dreiging van terrorisme. Onder deze dreiging vallen (Bom)aanslagen gericht tegen: infrastructuur zoals bruggen en tunnels, “soft-targets” zoals openbaar vervoer en grote publieksconcentraties (evenementen, winkelcentra), openbare voorzieningen als drinkwatervoorziening en energielevering en andere “economische” doelen. Als gevolg van deze aandacht zijn er door verschillende organisaties maatregelen getroffen: - USA: C-TPAT en CSI (jan 2002) - IMO: SOLAS en ISPS-code - EU: Vo 725/2004 per 010704 en voorstel Havenrichtlijn. - NL: Havenbeveiligingswet - Hoofdstuk 1.10 in ADR/ADNR/RID en IMDG (gevaarlijke stoffen) Ketenperspectief Beveiliging van de logistieke keten kan op twee manieren plaatsvinden. Enerzijds is er de commerciële keten. Hierin heeft een producent te maken met afnemers die op hun beurt ook weer afnemers hebben. Elk van deze partijen moet betrouwbaar zijn: zowel financieel als qua intentie. Om dit in de logistieke keten te bereiken zal men toeleveranciers steeds meer certificeren.
PROTECT 2005
48 / 94
Anderzijds bestaat er de fysieke logistieke keten, waarin de goederen stromen. Hier geeft een opdrachtgever (verlader) een transporteur de opdracht om goederen te transporteren. Hier heeft beveiliging met fysieke beveiliging te maken van voertuigen en ladingdragers. Verladers zullen daarom ook steeds meer gaan vragen naar security certificering van transporteurs. Iedere betrokkene heeft eigen specifieke verantwoordelijkheid. Hoe elke partij hiermee omgaat, kan men analyseren en evalueren. I.v.m. beïnvloedbaarheid van dergelijke analyses kan men aansluiten bij de verdeling van verantwoordelijkheden volgens INCO-terms. De verlader kent de volgende security risico’ s: - Beveiliging bedrijfsterrein verlader - Verzekeren en handhaven integriteit beladen vervoermiddelen (containers) - Vaststellen betrouwbaarheid vervoerder - Vaststellen bevoegdheid tot afhalen van chauffeur/kapitein - Vaststellen integriteit vervoermiddel - Beveiliging informatie Beveiligingsmaatregelen Het creëren van awareness bij alle betrokken individuen is de belangrijkste beveiligingsmaatregel. Awareness, ofwel bewustzijn, moet er voor zorgen dat personeel onverwachte en onlogische gebeurtenissen opmerkt en verifieert of de gebeurtenis geoorloofd is. Dit kan door al het personeel gebeuren, van schoonmaker tot vrachtwagen bestuurder tot portier. De beveiliging bedrijfsterrein vindt plaats door middel van bouwkundige en organisatorische maatregelen: 1. Bouwkundig - Afsluitingen: hekken, slagbomen, rolluiken etc. - Controle: CCTV-systeem 2. Organisatorisch - Controle: surveillance, observeren CCTV, visitatie in/uit - Toegangscontrole - Procedures - Helderheid in organisatie - Training - Screening personen en bedrijven Hiernaast neemt Shell een beveiligingsclausule op in hun contracten met derden: Dit geeft Shell het recht audits bij deze partijen uit te voeren. Ook op gebied van interne controles adviseert Noordegraaf bij voorbaat toestemming te regelen om uit- en ingaande controles te mogen uitvoeren. Vaak moet dit via een Ondernemingsraad geregeld worden en het is altijd handig deze toestemming vast te hebben voor het geval dat. Er bestaan meerdere barrières om een adequate beveiliging van de logistieke keten te krijgen. Gezien het belang van awareness is de mens een belangrijke factor. Zo kan personeel in kwaliteit verschillen. Of het kan een beperkte taakopvatting hebben. Een zwakke plek zijn vertrouwen en routine.
PROTECT 2005
49 / 94
Hiernaast kan het intern aan de organisatie liggen. Budget bepaalt ten eerste hier de middelen tot beveiliging. Maar procedures kunnen ook ontoereikend zijn. Tenslotte kan een ineffectieve informatie-uitwisseling met ketenpartners leiden tot oncontroleerbaarheid van ‘afhalers’ bij de poort. Maar van buitenaf de organisatie kunnen er ook barrières opgeworpen worden. Regelgeving kan versnipperd en onduidelijk zijn, of kan beperkend werken (zoals bij privacykwesties en vergunningverlening). Conclusie Beveiliging heeft nog een lange weg te gaan. Samenwerking en taakverdeling zijn een echte noodzaak geworden. En men moet vooral realistisch blijven en niet alle theoretische risico’ s willen afdekken. 5.3.2
Dhr. Clauwaert (ABX Logistics) - Passionate about logistics & security ABX LOGISTICS is sinds 2004 actief als een privé bedrijf met een aanzienlijke autonomie ten opzichte van haar moederbedrijf de Belgische Spoorwegen. Dhr. Clauwaert is hoofd beveiliging voor ABX Logistics in de Benelux. Security more than locks and keys Studies hebben in België uitgewezen dat 70% van alle criminaliteit is gericht tegen bedrijven. Ongeveer de helft hiervan (37% van het geheel) bestaan uit criminaliteitsproblemen die van intern de organisatie komen. Alhoewel statistisch criminaliteit dus voor 37% uit de eigen organisatie komt, blijkt 78% van alle benaderde bedrijven criminaliteit puur als externe factor behandelen. Echter, gevaar komt niet alleen van buitenaf! In dit kader investeert ABX Logistics doelgericht in beveiliging van distributiecentra en transportmiddelen. In het algemeen bestaan er in de keten risico’ s voor diefstal, fraude en terrorisme. Daar waar diefstal en fraude de grootste kostenposten zijn, is terrorisme een risico dat vooral door de (overheids)maatregelen een impact heeft op de logistieke keten. 1. Diefstal - Interne diefstal door eigen werknemers - Inbraak door derden - Hijack – diefstal uit vrachtwagen - Hold-up - Oplichting (afzender-bestemmeling) 2. Fraude - Financieel (remboursement, oplichting) - Illegale import, smokkel ( drugs, wapen, vervalsingen, …) 3. Terrorisme - bedreigingen - bomalarm - misbruik van transportmodi - personeelsgerelateerd - psychose ? Beveiligingsmaatregelen vooraf, tijdens en nadien een vergrijp Problemen in de beveiliging van de logistieke keten kunnen ontstaan vooraf, tijdens en nadien een ongewenste gebeurtenis plaatsvindt. Daarom is een juiste controle en aansturing op dit gebied noodzakelijk.
PROTECT 2005
50 / 94
Voorafgaand aan een gebeurtenis kan een te laag beveiligingsniveau aanleiding zijn voor vergrijp. Het is belangrijk om bij het ontwikkelen van een logistieke strategie van een bedrijf, een duidelijke beveiligingsstrategie op te zetten en beveiliging direct te betrekken bij de logistieke strategie. Inadequate beveiliging wordt veroorzaakt door het ontbreken van proactieve beveiligingsbeleid, afwezigheid van beveiligingsmaatregelen, onvoldoende overleg tussen ketenpartijen, gebrek aan afspraken tussen ketenpartijen en desinteresse. Partijen kunnen bijvoorbeeld niet op de hoogte zijn van risico’ s of security maatregelen. Clauweart geeft een voorbeeld uit Engeland waar de overheid een succesvol initiatief had opgestart op Heathrow airport. Dit project heet ‘Operation Grafton’ . Een onderzoeksgroep was in staat geweest 450 van 600 miljoen door diefstal of anderzijds verloren euro te achterhalen. Operation Grafton loopt nog door tot op vandaag maar staat ter discussie, daarom werd de industrie aangezocht om hierin te investeren. Ondertussen gaven reeds 2 bedrijven materiële steun. ABX zelf doet mee aan International Freight Forwarders een platform waarbinnen men praat over security issues. Tijdens een vergrijp kan een te lage operationele beveiliging ook aanleiding zijn voor de zwaarte van het misdrijf en een lagere kans dat het vergrijp gesignaleerd wordt. Het is belangrijk dat alle risico’ s vooraf bekend zijn en dat de bewakingsdienst goed weet waar men op moet letten. Grote risico’ s zijn hier een interne communicatiestoornis (men verwacht dat “ het wel goed zal zitten” ), feedback tussen ketenpartijen ontbreekt, dat de procedures gaten vertonen, er onvoldoende bewakingspersoneel is en dat de tijdsdruk te hoog is om een vergrijp te signaleren. Een concrete security maatregel bij ABX is het verbod op GSM’ s in de loodsen van ABX. De reden hiervan is dat a) ze als goederen worden vervoerd en b) het is een communicatie middel om door te kunnen geven dat een waardevolle zending vertrekt. Daarnaast worden per jaar 60 onaangekondigde uitgangcontroles uitgevoerd, waarbij niemand wordt ontzien, van adjudantdirecteur tot de schoonmaakster wordt iedereen gecontroleerd. Ook hebben de ABX trucks, die ’ s nachts onderweg zijn, Track en Trace apparatuur aan boord. ABX heeft binnen haar diensten een speciaal beveiligingscircuit voor specifieke goederen. Verladers kunnen om deze speciale behandeling vragen, maar ABX neemt ook automatisch specifieke goederen hiervoor op. Dit is een service met meer aandacht en focus op beveiliging, maar wel gebundeld met gewoon transport om niet te veel de aandacht te trekken. Als de security afdeling het risico voor een bepaalde klant te hoog acht wordt deze direct (zonder toestemming) in dit circuit opgenomen. Sporadisch worden goederen (zoals ruwe zilver) niet voor een potentiële klant vervoerd, vanwege de te hoge risico’ s. Nadien – als een vergrijp zich heeft voltrokken – is een leerproces belangrijk. Dit is niet alleen voor de beveiliging nodig. Alle medewerkers in een organisatie moeten leren van wat er fout is gegaan, wie wat heeft moeten constateren en melden, hoe de bewaking heeft zou hebben kunnen reageren etcetera. Op basis van briefing en een leerproces kan men herhaling voorkomen. Financiële gevolgen van te lage beveiliging Zowel de opdrachtgever als de logistieke dienstverlener dragen kosten bij een te lage beveiliging. Beide partijen kunnen te maken krijgen met diefstal, beschadiging of andere vormen van verlies van goederen. Dit kan leiden tot betrouwbaarheidsproblemen voor de bestemming en tot kosten voor vervanging van de goederen. In geval van
PROTECT 2005
51 / 94
verzekerde goederen kan een hoger aantal claims resulteren in een hogere verzekeringspremie. En wanneer regelmatig criminaliteit of terrorisme plaatsvindt zal een sector hier economische schade van ondervinden. De logistieke dienstverlener draagt het risico dat criminaliteit leidt tot imagoproblemen en verlies van klanten. Conclusie Beveiligingslacunes zijn eigen aan de logistieke keten. Er zijn veel partijen betrokken bij waardevolle goederenstromen. Security is daarom een noodzaak in transport en logistiek. Een effectieve bedrijfscultuur is primordiaal. Alle werknemers op alle niveaus moeten in de organisatie bewust en alert zijn van onverwachte en herkenbare verdachte gebeurtenissen. Deze dient men dan te allen tijde te melden, zodat verificatie plaats kan vinden. Beveiliging in de logistiek vraagt een netwerkaanpak. Men moet sector breed overleg voeren om gezamenlijk iets tegen beveiliging te doen. Daarnaast is een proactieve en faciliterende rol van de overheid nodig om effectieve beveiliging mogelijk te maken. Wetgeving (strafrecht), maar ook beveiligde parkeerplaatsen en omgaan met privacykwesties zijn concrete voorbeelden. Beveiliging kent echter diverse barrières. Er zijn diverse tegenmaatregelen in te voeren waarvan de effecten vooraf onduidelijk zijn. De return is vaak niet goed te meten. Daarentegen zijn vaak de kosten hoog. 5.3.3
Algemene bevindingen van de discussiemiddag Logistieke beveiliging Criminaliteit in transport en logistiek is helaas onvermijdelijk. Omdat criminaliteit een hoge kostenpost kan betekenen, moeten bedrijven hun activiteiten uit voorzorg beveiligen. Beveiligingsmaatregelen om o.a. terrorisme te vermijden zijn dan ook sterk in opkomst. Deze maatregelen komen grotendeels van de overheid. Zo komen er steeds meer plaatsen waar de douane containers kan scannen en stijgt de scankans per locatie. Ook zal de Europese Unie logistieke importvoordelen gaan verstrekken op zogenaamde ‘Authorised Economic Operators’ op het gebied van ‘security’ . Een beveiligde logistieke keten waarborgt dat ketenpartijen op tijd kunnen blijven leveren aan hun klant en beschermt sociale en economische structuren. Beveiliging van de logistieke keten kan op twee manieren plaatsvinden. Enerzijds is er de commerciële keten. Hierin heeft een producent te maken met afnemers die op hun beurt ook weer afnemers hebben. Elk van deze partijen moet betrouwbaar zijn: zowel financieel als qua intentie. Om dit in de logistieke keten te bereiken zal men toeleveranciers steeds meer certificeren. Anderzijds bestaat er de fysieke logistieke keten, waarin de goederen stromen. Hier geeft een opdrachtgever (verlader) een transporteur de opdracht om goederen te transporteren. Beveiliging bestaat hier uit fysieke beveiliging van voertuigen en ladingdragers. Verladers zullen daarom ook steeds meer gaan vragen naar security certificering van transporteurs. Bewustwording Het creëren van bewustwording is de belangrijkste beveiligingsmaatregel. Dit geldt voor alle niveaus in een organisatie. Op de werkvloer moet bewustzijn ervoor zorgen dat personeel onverwachte en onlogische gebeurtenissen opmerkt en bij de bewaking verifieert of de gebeurtenis geoorloofd is.
PROTECT 2005
52 / 94
Criminaliteit en terrorisme kunnen direct nadelige invloed hebben op het imago van een bedrijf. Managers van beveiliging en logistiek moeten intensief samenwerken voor een effectief beveiligingsniveau en een zo laag mogelijke logistieke impact. Overheidsmaatregelen om terrorisme te voorkomen kunnen de logistiek de komende jaren sterk gaan beïnvloeden. Dit geldt zowel voor de goederenstromen, als voor informatie-uitwisseling. Wanneer geen rekening gehouden wordt met de logistieke impact van beveiliging, kan dit de concurrentiepositie sterk benadelen. Conclusie: Beveiliging is een kritisch concurrentiefactor Veel bedrijven zetten pas een zwaardere beveiliging in als een vergrijp heeft plaatsgevonden. Maar bedrijven die proactief een beveiligingsstrategie ontwikkelen, zijn beter in staat een volwaardige beveiliging neer te zetten. Hiermee houden zij adequaat rekening met alle ketenrisico’ s waarmee het bedrijf te maken kan krijgen. Beveiliging is dus een kritische concurrentiefactor geworden. Adequate beveiliging leidt tot minder criminaliteit en fraude, beperkt de logistieke impact van antiterrorismemaatregelen en is gebaseerd op (gecertificeerde) integriteit van ketenpartijen. Daarmee beperkt logistieke beveiliging onnodige kosten en bepaalt het in sterke mate de betrouwbaarheid van goederenstromen.
PROTECT 2005
6
Case studies
6.1
Introductie
53 / 94
Elke case onderzoekt de volgende aspecten voor een concrete logistieke keten (of netwerk). Een keten bestaat hier uit een aaneenschakeling van partijen die een bijdrage leveren aan een concrete, vooraf geselecteerde goederenstroom. 1. Actuele grondvorm a. Hoe ziet de logistieke keten eruit? Welke partijen voeren welke activiteiten uit? b. Welke ketenafhankelijkheden bestaan er tussen de partijen (goederenstroom, informatiestroom)? c. Op welke wijze gaan ketenpartijen contractueel om met logistieke onzekerheden (b.v. a.g.v. terroristische aanslagen, maar ook criminaliteit en natuurrampen)? 2. Actuele security a. Welke security issues (risico’ s) herkent elke partij momenteel in deze keten (zowel criminaliteit als terrorisme)? Met welke issues heeft men al ervaring gehad? b. Welke operationele, tactische en strategische beveiligingsmaatregelen wil men hiertegen nemen of heeft men genomen? Verplicht of vrijwillig? Welke maatregelen blijken zeer effectief? c. Welke delen van de keten hebben (nog) geen of te lage beveiliging? d. Hoe kunnen deze delen wel beveiligd worden (bedrijfsmaatregel, certificering overheidsregulering, of via iets anders)? 3. Security behoefte a. Welke beveiligingsbehoefte (tools) heeft elke partij vanuit individueel en ketenperspectief? 4. Welke lering kan voor het Logistics Security Framework getroffen worden? Elke case is gebaseerd op interviews met verschillende schakels in de logistieke keten. In verband met de privacy van de bedrijven worden geen bedrijfsnamen gebruikt en zijn niet alle fysieke stromen op waarheid gebaseerd. 6.2
Zeecontainerexport van Europa naar de Verenigde Staten
6.2.1
Actuele grondvorm De case betreft de distributie van hoogwaardige goederen. In Oost-Nederland heeft de verlader arbeidsextensieve assemblage-activiteiten, productie van supplies, en een Europees logistiek centrum voor spare parts. Vanuit deze locatie levert de verlader de goederen aan EMEA en Azië. De verlader houdt zo min mogelijk toeleveranciers aan. Componenten zijn met dezelfde standaarden ontworpen zodat ze wereldwijd kunnen worden gebruikt. Dit heeft echter wel tot gevolg dat de verlader de componenten wereldwijd moet distribueren.
54 / 94
PROTECT 2005
Deze wereldwijde distributie vindt onder andere plaats van Europa naar de Verenigde Staten (VS) en terug. De volgende case bestudeerd de exportstromen van componenten middels containers van Nederland naar de VS. Onderstaand figuur toont de schakels van de logistieke keten op twee niveaus. De bovenste transactielaag geeft de commerciële relaties van de keten weer. De onderste operationele laag illustreert de fysieke transportketen.
Verlader EU
Verlader VS Forwarder LDV
LDV
LDV
Terminal
LSP
Barge operator
Zeeterminal
Rederij
customs
US terminal
Transporter
LSP
Transporter
customs
P Verlader
Toeleveranciers
inland terminal
Zeeterminal
US sea port
Verlader US bonded warehouse
Verlader VS supply chain to market
LDV Distributiecentrum
Figuur 28: Een logistieke keten van Nederland naar VS
De goederenstroom van Nederland naar de Verenigde Staten start vanaf twee herkomst locaties. Of de componenten komen direct vanaf de productielocatie, of de componenten komen van toeleveranciers via het nabij gelegen distributiecentrum van de logistieke dienstverlener (LDV). Voor het transport van beide locaties naar de zeehaventerminal te Rotterdam, kan de verlader kiezen uit direct wegtransport en binnenvaart. De LDV regelt de distributie in Europa en het wegtransport naar de Rotterdamse haven. Als men binnenvaart inzet, maakt men gebruik van de nabij gelegen overslagterminal aan de Maas. Deze terminal regelt dan ook het wegtransport van de productielocatie naar de terminal. Logistieke betrouwbaarheid is zeer belangrijk voor de verlader. Deze betrouwbaarheid is afhankelijkheid van de logistieke prestaties van de dienstverleners. Afspraken worden hierover vastgelegd. Beveiligingsmaatregelen van overheden kunnen echter leiden tot meer logistieke onzekerheid. Als gevolg van deze maatregelen stijgt het aantal punten waar overheden het containertransport controleren en stijgt de kans per controlepunt op inspectie. Een status als ‘betrouwbare partij’ is voor de verlader belangrijk om de negatieve invloeden van de beveiligingsmaatregelen te beperken. 6.2.2
Actuele security Als Amerikaans bedrijf is de verlader zich bewust dat het een hoger risico als doelwit kent dan bedrijven van een andere nationaliteit. Daarom heeft het strikte beveiligingsprocedures voor de productiefaciliteit in Nederland. Wanneer de verlader in de VS het dreigingsniveau verhoogt, zet de verlader in Nederland ook striktere
55 / 94
PROTECT 2005
beveiligingsprocedures in werking in combinatie met strenge controle op naleving ervan. In de transport keten hebben beveiligingsrisico’ s betrekking op het gehele transport van een container van Nederland naar de VS. De productiefaciliteit laad en verzegelt de container, om het risico van ongehinderde maar ongeautoriseerde toegang weg te nemen. Het risico van het breken van het zegel en herverzegeling blijft natuurlijk bestaan, maar dit risico is kleiner dan het risico bij ongehinderde toegang. De verschillende ketenpartijen zien een aanval op de containerstroom niet als risico. Wel is het mogelijk dat de container logistieke hinder kan ondervinden van een aanval op of nabij een logistiek knooppunt. Zo zou een stremming van de Rotterdamse of Amerikaanse haven (bv. als gevolg van een aanslag) leiden tot vertraging en herroutering (bv. via Antwerpen) van de container. Onderstaande Tabel 9 geeft een overzicht van de risico’ s per partij. Tabel 9: Actuele beveiligingsrisico’s in de containerexport van NL naar VS
Verlader
LDV Inland terminal
Criminaliteit Ongewenste fabriek Ongewenste container
Terrorisme toegang
tot
toegang
tot
Diefstal Smokkel via containers Ongewenste toegang container
Binnenvaart operator Zeeterminal
Smokkel via containers
Rederij
Smokkel via containers
tot
Aanslag op fabriek Ongewenste toegang tot container Smokkel via containers (imago) Smokkel via containers Ongewenste toegang tot container Sabotage Kaping (schip als wapen) Aanslag op terminal/haven Ongewenste toegang tot container Smokkel via containers Smokkel via containers Aanslag op schip
Op verschillende besluitvormingslagen past men beveiliging toe in de logistieke keten. Strategisch is de bedrijfskeuze om ofwel een innovator te zijn op het gebied van logistieke beveiliging ofwel een volger te zijn die nieuwe wetgeving en verplichtingen gewoon implementeert. Verplichte wetgeving, zoals de ISPS, is vanzelfsprekend een randvoorwaarde voor de bedrijfsstrategie. Vanuit strategisch perspectief kan participatie in beveiligingsinitiatieven belangrijk zijn om (deel)markten niet te verliezen en/of logistieke hinder door extra of uitgebreidere inspecties te voorkomen. Deelname aan programma’ s zoals C-TPAT is daarom voor multinationals als de verlader en de rederij een belangrijke maar eenvoudige keuze. Het kiezen van betrouwbare toeleveranciers en logistieke dienstverleners is een belangrijke tactiek. Betrouwbaarheid bestaat hier niet allen uit het voldoen aan gestelde logistieke prestatie indicatoren, maar ook uit het voldoen aan de benodigde beveiligingsnormen. Dankzij de hoge beveiligingseisen die de verlader en LDV samen al hadden opgezet, kon men zonder extra maatregelen toetreden tot C-TPAT. Alle
56 / 94
PROTECT 2005
toeleveranciers van de verlader voldoen bijvoorbeeld aan de voorwaarden van dit Amerikaanse programma. Een supply chain security (SCS) project, waaraan de verlader, zeeterminal en rederij eerder deelnamen en vanaf een nieuw programma 2005-2007 geven, is ook een tactische keuze. Door eerst security RFID technieken te testen in 2003 en vanaf 2005 supply chain security informatiesysteem op te zetten en security regulering te evalueren, ontstaat er een gedegen beeld van de mogelijkheden en randvoorwaarden van beveiliging in de mondiale containerlogistiek. Op operationeel niveau vinden ontvangers (en zeker Amerikaanse partijen) en inspectie-diensten (zoals douanes) in het algemeen het gebruik van degelijke containers zegels belangrijk. De rederij eist bijvoorbeeld al vanaf augustus 2004 dat alle beladen containers aan moeten worden geleverd met behoorlijk verzegeling (‘duly sealed’ ). Daarom gebruikt de verlader altijd degelijke conventionele zegels. Het SCS project testte in 2003 onder andere het gebruik van elektronische zegels in de keten van de verlader in Nederland naar de vestiging in Amerika. Het hergebruik leidt tot de noodzaak van deactivatie en reactivatie van de zegel. De pilot toonde aan dat dit proces van reactivatie en deactivatie wel meer tijd kost dan in de conventionele situatie. Andere ingezette operationele beveiligingsmaatregelen zijn identificatieplicht van personeel, identificatie, verificatie en registratie van bezoekers (incl. chauffeurs) op locaties, training van (bewakings-)personeel, camerasurveillance, speciale hekwerken enzovoorts. De verlader, LDV en zeeterminal hebben hiervoor gedetailleerde bewakingsplannen uitgewerkt. De verlader heeft ook beveiligingsafspraken met de binnenvaartterminal gemaakt. Deze afspraken hebben onder andere tot hekwerk, camerasurveillance en reguliere patrouilles geleidt bij de terminal. Tabel 10 geeft een algemeen overzicht van de actuele beveiligingsmaatregelen in deze containerketen. Tabel 10: Actuele beveiligingsmaatregelen in de containerexport van NL naar VS
Verlader
LDV
Inland terminal
Binnenvaart operator Zeetreminal
Criminaliteit
Terrorisme
Tactisch Betrouwbare LSP (LDV)
Strategisch C-TPAT lid
Operationeel Ingangscontrole bij fabriek Container seal Strategisch TAPA lid (voor strenge security)
Tactisch Test elektronische seals Evaluatie container security
Operationeel Hekwerk, CCTV, surveillance
Strategisch Voldoen aan eisen van verlader
Tactisch Cargo card
Strategisch ISPS compliant C-TPAT lid
Operationeel Ingangscontrole truck &
Tactisch
57 / 94
PROTECT 2005
Rederij
container Bestuurderidentificatie bij gate via handscan
Test elektronische seals
Operationeel Container seal
Strategisch ISPS compliant C-TPAT lid Tactisch Test elektronische seals
Douane
Tactisch Risicoanalyse lading Containerscan
Strategisch Participatie in CSI
Duidelijk knelpunt in logistieke beveiliging is de verzegeling van containers die onder ‘merchant’ haulage bij de zeeterminal worden afgeleverd. Zowel rederij als zeeterminal geven aan dat containers die op de zeeterminal af worden geleverd vaak nog niet verzegeld zijn. Aan de poort wordt dan de container met het juiste zegel verzegeld. Dit komt overigens bij de containers van de verlader nooit voor. Containers die via ‘carrier haulage’ bij de zeeterminal aankomen zijn (bijna) altijd wel verzegeld, want dan is de rederij verantwoordelijk voor het transport van deur-tot-deur. De rederij haalt dan de container verzegeld en wel bij de verlader af. Oplossing zou zijn dat alle verladers alle beladen containers (moeten) verzegelen voor vertrek. Een ander knelpunt is dat een verlader geen controle heeft over een verstuurde container. Zowel bij ‘merchant’ als bij ‘carrier haulage’ blijft de verlader verantwoordelijk en aansprakelijk voor de inhoud van de container. Op het moment dat de (volle) container vertrokken is van het terrein van de verlader, moet de verlader vertrouwen op de eerlijkheid en professionaliteit van transport bedrijven en andere logistieke partijen. Een oplossing zou zijn dat verladers het laadproces en verzegeling via CCTV op video opnemen, waardoor ze altijd kunnen aantonen welke handelingen zij met welke goederen hebben uitgevoerd. In het geval van de verlader is lading niet erg diefstalgevoelig, omdat de producten vooral voor de B2B markt bestemd zijn. Verkoop gaat hier vaak gepaard met ‘service’ (onderhoud en aanvullen van papier- en cartridgevoorraden). Aangezien dergelijke producten zonder service moeilijk kunnen worden doorverkocht, zijn ze minder gevoelig voor diefstal. Ten slotte geven verlader en dienstverleners aan dat LTL zendingen een hoger risico hebben voor ongewenste activiteiten dan FTL zendingen1. LTL zendingen worden vaak gegroepeerd. Dit leidt tot een extra schakel in de keten en extra mogelijkheid tot ongeautoriseerde activiteiten. Regelmatige (interne) auditing en certificering van dienstverleners kan een oplossing zijn om een hogere beveiligingsgarantie bij dienstverleners te verkrijgen.
1
Less-than-full-truck-load (LTL) zendingen zijn zendingen waarbij een vrachtwagen niet volledig beladen is, terwijl dat wel het geval is bij full-truck-load (FTL) zendingen .
PROTECT 2005
6.2.3
58 / 94
Security behoefte Gebaseerd op de interviews met de verschillende ketenpartijen, kunnen de volgende conclusies gemaakt worden: 1. Beveiliging van supply chains houdt niet slechts de fysieke beveiliging van container transport operaties in. Eén van de grootste risico’ s in logistieke beveiliging is dat een verlader zelf een betrouwbaar imago creëert, de status van ‘known operator’ verdiend en vervolgens misbruikt door zelf een containertransport inzet voor illegale en maatschappelijk ongewenste doeleinden. Een ‘known operator’ concept zou logistieke voordelen kunnen geven, bijvoorbeeld in de vorm van een ‘green lane’ . Maar het is nog volstrekt onduidelijk hoe overheidsdiensten kunnen tegengaan dat een verdiende status niet wordt misbruikt. 2. De menselijke factor blijft het grootste risico in beveiliging. Personeel moet adequaat zijn opgeleid om verdachte situaties te herkennen en effectief ernaar te handelen. Personeel moet zich tevens houden aan vastgestelde procedures en het nut ervan inzien. 3. Containers zouden altijd na laden direct verzegeld moeten worden. Aangezien de verlader aansprakelijk is voor de inhoud van de container, zou de verlader altijd de door hem (of door zijn dienstverlener) geladen container direct moeten verzegelen. Als er iets mis met de inhoud van de container blijkt te zijn, moet de verlader kunnen aantonen dat de fout niet bij het beladen is gemaakt. Daarna is het aan de ingezette dienstverleners om aan te tonen dat zij alles hebben gedaan om de container tijdens transport en overslag te beveiligen. 4. Binnenvaarttransport valt momenteel niet onder gelijksoortige beveiligingswetgeving als zeetransport. Binnenvaartoperators en binnenlandse terminals zijn nog niet gebonden aan ISPS vergelijkbare regulering. Dit maakt beveiliging van zeehavens last, omdat een binnenvaartschip tegen een zeeschip of langs dezelfde kade kan afmeren. Dit geldt te meer omdat binnenvaartschepen aan vrijwel elke kade kunnen afmeren voor de overnachting. 5. Beveiliging van rangeerterreinen valt momenteel niet onder gelijksoortige beveiligingswetgeving als zeetransport. Daarentegen kunnen ladingen in wagons wel gevaarlijk zijn. Het risico van ongewenste handelingen op rangeerterreinen kan verminderd worden met een betere beveiliging. Te denken valt aan het plaatsen van hekwerk, camerasurveillance en patrouilles. 6. Marktpartijen voelen momenteel veelal geen noodzaak voor strengere beveiligingsprocedures vooral omdat er geen verplichting voor is. Supranationale overheid moet voor het transport over weg, water en spoor niet uitgaan van vrijwilligheid maar minimale beveiligingseisen stellen voor pan-Europees transport. Hierbinnen valt dan ook de beveiliging van de oostgrens van de EU. 7. Beveiliging bij subcontractors kan worden verbeterd. Verlader en rederij hebben geen directe controle over subcontractors van wegtransport. Certificering van subcontractors zou een start zijn om alle schakels van de fysieke containerketen te beveiligen. 8. Verificatie van chauffeurs is vaak lastig. Omdat informatie over welke chauffeur welke zending ophaalt of aflevert dikwijls ontbreekt, kan een portier momenteel vaak alleen controleren of de chauffeur van de juiste firma afkomt en of de bezoekreden valide is. Digitale vooraanmelding van zending en chauffeur zou dit probleem kunnen oplossen. 9. Vanuit beveiligingsoogpunt is het wenselijk om ladinginformatie op het laagste niveau te hebben. Verladers en dienstverleners kost het echter veel energie om op het meeste gedetailleerde niveau aan te geven wat er in een doos op een pallet in welke container is ingepakt. 10. Document uitwisseling naar chauffeurs moet beter beveiligd worden voor het afhalen van een container bij een (zee)terminal. Momenteel kan een container alleen worden opgehaald met de juiste papieren en de juiste PIN code. De
59 / 94
PROTECT 2005
distributie van deze documenten is echter nog niet voldoende beveiligd. Veel expediteurs distribueren de documenten via een gehuurde box nabij een haven en geven chauffeurs hiertoe toegang. In de praktijk kunnen deze boxen makkelijk worden geopend door derden. Hierdoor kan men relatief eenvoudig een container ophalen bij een terminal. Digitale documenten kunnen hiervoor uitkomst bieden als zij gekoppeld worden aan bijvoorbeeld de elektronische identificatiemogelijkheden van de chauffeurs bij de terminals. 6.2.4
Beveiliging in de logistiek De volgende aspecten zijn duidelijk van belang bij beveiliging in de logistiek: 1. Betrouwbaarheid is een essentie van beveiliging a. Werving van betrouwbaar personeel is vitaal voor beveiliging. b. Sinds september 2005 is verificatie van betrouwbaarheid ook mogelijk bij rechtspersonen. De zeeterminal zal participeren in een pilot om de procedures hiervoor te evalueren. 2. Verhoogde beveiligingsmaatregelen van overheden zetten de logistieke betrouwbaarheid zwaarder onder druk. Verladers en dienstverleners zijn bang dat verhoogde kansen op controles en intensievere controles leiden tot een lagere logistieke betrouwbaarheid van de internationale goederenstromen. 3. De 24-uurs manifest regel voor export naar de VS en Canada zorgt voor een verschuiving in het logistieke papierwerk. Verladers merken dat zij eerder de documenten rond moeten hebben. Dit levert vaak meer stress. De rederijen merken echter dat het logistieke informatieverwerkingsproces meer gebalanceerd wordt per afvaart. Hierdoor hebben ze minder pieken in hun logistieke planning. De verschuiving heeft echter niet geleid tot hogere efficiëntie in personeel of geld, omdat nog steeds evenveel papierwerk afgehandeld moet worden door de verschillende ketenpartijen. 4. Strenge certificering van beveiliging kan alleen incrementeel gereguleerd worden. Een stapsgewijze invoerfase is nodig om draagvlak te creëren en vervolgens ook de kleinere partijen de tijd te geven om hun beveiligingsprocedures op te zetten en te implementeren. Vooraf moet wel duidelijk zijn welke stappen op welke termijn genomen moeten worden, om vaart in het implementatieproces te behouden. 5. Nederlandse bedrijven lopen internationaal voorop met het voldoen aan internationale wetgeving en op het gebied van logistieke beveiliging in het bijzonder. Deze proactieve houding leidt wel tot druk op hun marktpositie. Supranationaal beleid moet ervoor zorgen dat het level playing field ook daadwerkelijk gerealiseerd wordt en dat voorlopers niet (logistiek) gestraft worden maar bevoordeeld. 6. Internationale harmonisatie van wetgeving moet – vanuit een level playing field – rekening houden met verschillen van regio’ s en bedrijfsaard. De metafoor van de horde is hier van belang: Er moet geharmoniseerde wetgeving komen ten aanzien van de hoogte van een horde voor hordelopers van verschillende lengte. Bedrijfsaard en verschillen in regio’ s moeten dus leiden tot proportionele wettelijke beveiligings-randvoorwaarden. 7. Transporttechnische innovatie kan men inzetten bij beveiliging. Verbetering van materieel kan leiden tot een lagere kans op ongewenste activiteiten. Zo heeft het uitrusten van vrachtwagens met een grotere tank tot gevolg dat vrachtwagens minder vaak op (onbeveiligde) tankstations hoeven te tanken. Ook kan men specifieke parkeerplaatsen beveiligen zodat trucks beveiligd geparkeerd kunnen worden. 8. Multimodale transportketens hebben minder last van de 24-uurs manifest regel voor export naar VS en Amerika. Als gevolg van de langere transporttijd, heeft een
60 / 94
PROTECT 2005
verlader voldoende tijd om na verzegeling – en tijdens het multimodale transport – het papierwerk tijdig aan de rederij aan te leveren. 6.3
Intra-Europees Ro-Ro transport tussen Nederland en het Verenigd Koninkrijk
6.3.1
Actuele grondvorm De case betreft een bedrijf dat transportdiensten onderhoudt tussen Nederland en het Verenigde Koninkrijk, zowel voor goederen als voor personen. In de case study is met name gekeken naar het goederenvervoer, maar omdat personen en goederen op hetzelfde schip meegaan zijn deze eigenlijk niet los van elkaar te zien. Het bedrijf vervult met name een rol in de verbinding UK – Rotterdam per schip. Daarnaast worden door het bedrijf ook als logistieke dienstverlener activiteiten uitgevoerd. De verbinding UK – Rotterdam wordt als zogenaamde roll-on / roll-off dienst onderhouden. Dit betekent dat volledige trekker-trailer combinaties, danwel losse trailers via een schip worden vervoerd. Additioneel worden ook containers getransporteerd. Omdat het om volledige trailers/containers gaat en om een reguliere lijndienst is er geen focus in typen produkten. Wel kan worden gezegd dat er relatief veel gevaarlijke stoffen worden vervoerd (tankwagens). Het risicoprofiel is dan ook hoog. Het betreffende bedrijf opereert niet enkel als operator van de lijndienst tussen Nederland en het Verenigd Koninkrijk. Ook fungeert men als logistiek dienstverlener voor verbindingen tussen de zeehavens en de achterlandlocaties. Onderstaand figuur toont de keten van het bedrijf:
Figuur 29: Logistieke keten tussen het Verenigd Koninkrijk en Nederland (en het achterland)
Het Ro/Ro traject tussen Nederland en het Verenigd Koninkrijk wordt voor 100% uitgevoerd door de betreffende rederij. De aan- en afvoer van en naar de terminals aan beide kanten van de Ro/Ro-verbinding wordt voor een deel door de rederij zelf
PROTECT 2005
61 / 94
aangestuurd en/of uitgevoerd (logistieke dienstverlenersfunctie), maar voor een groot deel ligt dit ook geheel buiten de regie van de rederij. Dit is namelijk het geval voor alle ladingstromen door partijen die enkel gebruik willen maken van de Ro/Ro dienst en zelf het voor- en natransport regelen. Logistieke onzekerheid speelt een rol in dit proces. De keten draait om een lijndienst tussen twee zeehavens. De schepen varen volgens een vaste dienstregeling en hebben dus te maken met vaststaande vertrek- en aankomsttijden. De vaartijd kan wel een variatie vertonen van 2 uren (weersinvloeden, stromingen, etc.), hier dient in de keten rekening gehouden te worden. Alle transporten moeten vooraf geboekt zijn op het schip van de rederij. Niets kan onaangekondigd mee. 5% van arriverende ladingen is nog steeds niet geboekt. Dit dient dan ter plekke toch nog geregeld te worden. Het bedrijf is hier strikter in geworden en dus neemt het aandeel arriverende ongeboekte lading af. Ongevaarlijke trucks/zendingen die ongeboekt zijn mogen gelijk de bufferzone in en van daaruit de boeking regelen; gevaarlijke trucks/zendingen (gevaarlijke goederen of ander risicoelement) mogen niet in de bufferzone. De rederij profileert zich door flexibiliteit: dus trucks die op het laatste moment voor vertrek nog arriveren worden veelal nog meegenomen. Hier speelt het spanningsveld tussen service en security heel duidelijk. Grote klanten doen ‘blokboekingen’ , d.w.z. reserveringen voor ladingplaatsen op de afvaarten. De specifieke invulling van die plaatsen wordt dan kort voor vertrek nog gedaan. Naast Rotterdam – UK (en vice versa) vervoer komen ook de volgende stromen voor: - UK – Rotterdam – China - UK – Rotterdam – Polen / Italië (rail) - UK – Rotterdam – Duitsland (binnenvaart, 2x per week via de Rijn, landbouwvoertuigen) Per schip gaan gemiddeld 210 units vracht mee, waarvan 70-80 vrachtwagens en trailers. 6.3.2
Actuele security Als bedrijf met een internationale terminalfunctie dat een ISPS Code certificering heeft doorlopen in de afgelopen twee jaren heeft men een goed inzicht in de security issues en risico’ s die binnen de logistieke keten bestaan. Security maatregelen die genomen worden in deze keten dienen vaak een aantal gecombineerde doelstellingen: - Voorkomen van ‘verstekelingen’ (bijv. illegalen in containers/trailers); - Reductie van risico’ s met gevaarlijke lading (chemisch, brandgevaarlijk, etc.); - Voorkomen van ‘smokkel’ ; - Voorkomen van vervoer van illegale lading met een terroristisch oogmerk; - Voorkomen van terroristische aanslag op schip van de rederij en/of havens Rotterdam/UK. Ongelukken met gevaarlijke lading en terroristische aanslagen voorkomen zijn doelstellingen die direct uit de rederij zelf voortkomen. De overige zijn ook sterk verbonden met de internationale terminalfunctie die men vervult en komen dus vaak ook voort uit de eisen van de douaneorganisaties.
PROTECT 2005
62 / 94
Onderstaande operationele maatregelen zijn reeds ingevoerd door de rederij, vaak in samenwerking met de douane-autoriteiten. Douane-controle: - Het aantal en de intensiteit van douane checks op de terminal wordt opgevoerd. Dit is ook door de douane aangegeven. - De vrachtformulieren van de rederij gaan, per afvaart, naar de douane. De manifesten gaan ook naar de ontvangende haven. Daar vindt dus op voorhand analyse plaats van de aankomende lading zodat men na aankomst van de lading gerichte fysieke controle kan uitvoeren. - Op personenvervoer vindt geen screening op voorhand plaats (bijv. voor aankomst). Passagiers worden in de terminal gescreend (paspoortcontrole en spot checks, bijv,. met honden). Illegalenchecks: - De rederij doet zelf checks op meereizende illegalen. - Reden hiervoor is dat het bedrijf een boete krijgt als er in de UK illegalen worden gevonden in lading die via de schepen van deze rederij vervoerd is. Fysieke checks bepaalde lading: - Één op de vijf vrachtvoertuigen wordt gecontroleerd - Alle vrachtvoertuigen <6m worden gecontroleerd (busjes, hoger algemeen risicoprofiel) - Hierbij wordt samengewerkt met de marechaussee - Ongeboekte lading is per definitie verdacht en wordt gecontroleerd - Per shift vindt er een algemene surveillance plaats over het terminal terrein Zegelcontroles - De rederij voert op verzoek van bepaalde klanten zegelchecks uit op de lading. - Standaard hoeft er van de rederij geen zegel op de ladingeenheid, maar op verzoek van de klant controleert men of deze er al dan niet op zit. Ook op tactisch/strategisch niveau wordt er aan security gewerkt: De informatiestroom wordt verbeterd: - Port Security Cargo Card levert een goede bijdrage door het bieden van transparantie en gemakkelijke informatie-uitwisseling - Port InfoLink bidet een platform voor informatie-uitwisseling - Aan de Engelse kant wordt door de autoriteiten (immigration, douane) een systeem opgezet dat heet ‘ E-borders’ , vergelijkbaar met het US-Visit programma, met als uiteindelijke doel het invoeren van ‘ advance notification’ voor lading. Analyse van ladinginformatie - De rederij heeft een eigen Customs Intelligence afdeling. Deze ontvangen per afvaart de ladingmanifesten en analyseren die op uitzonderingen, risico’ s, etc. Dit gaat vooralsnog met name op papier. - Het manifest bevat alleen de basis ladinginformatie (gewicht, inhoud, unitnummer,. etc.); het manifest bevat geen enkele dedicated security informatie.
63 / 94
PROTECT 2005
-
De schepen varen ’ s nachts, de douane in de ontvangende haven ontvangt ’ s avonds de manifesten en bepaalt dan welke opvallende zaken in ieder geval de volgende ochtend, bij aankomst, gecontroleerd gaan worden.
Verbeteringen ten aanzien van security zoekt men vooral in de structurele analyse en verwerking van informatie rond de goederenstromen. Er vindt op dit moment nog weinig elektronische informatie-uitwisseling plaats (rederij – klanten, rederij Rotterdam – rederij UK, rederij – douane, etc.). Ook vindt er geen data-mining of andere meer geavanceerde wijze van informatieanalyse plaats. Wel bestaat er een goede basiskennis van welke lading op voorhand risicovol is (bepaalde kenmerken). Daar wordt dan ook actie op ondernomen. Aan de Engelse kant bestaat een systeem dat door de autoriteiten wordt gebruikt waarmee on-line manifesten kunnen worden geanalyseerd en gedownload. Voordeel hiervan is dat men ook historie van bepaalde transporteurs, etc. kan terugroepen. De rederij zelf gaat steeds meer naar webbased boeking van lading. Op die manier komt in een keer veel meer data beschikbaar in digitale vorm. Deze kan dan ook gekoppeld worden aan de security systemen. De douane analyseert en controleert deels op basis van systemen, maar ook deels op basis van ‘ instinct’ en ervaring. Op basis van de screening van het Manifest in de avond wordt bepaald of er speciale target teams ingezet dienen te worden de volgende ochtend (bijv. honden). 6.3.3
Security behoefte Gebaseerd op de gevoerde gesprekken kunnen de volgende conclusies getrokken worden: Implicaties toekomstige security maatregelen op operatie van de rederij Gezien de ontwikkelingen die zowel vanuit de Verenigde Staten (green lanes) en vanuit de Europese Unie als ook mondiaal (bijv. ISO) plaatsvinden op het gebied van security in logistieke ketens zou het bedrijf graag meer inzicht krijgen in de specifieke implicaties van dit soort ontwikkelingen op de operaties van het bedrijf. Link tussen rederij en de ketenpartijen verder stroomafwaarts: bijv. railvervoerder naar Polen Op dit moment beveiligt de rederij feitelijk alleen haar eigen schakel van de keten. In de toekomst zou men graag meer naar een ketenbeveiliging toe willen waarbij zowel de partijen stroomopwaarts als stroomafwaarts ook een belangrijke rol spelen. Hier zou men bijvoorbeeld richting een soort green lane concept kunnen gaan: uitgebreide en standaard check aan het begin van de keten en vervolgens een onbelemmerd proces tot aan het einde van de keten. Mogelijkheden voor meer geautomatiseerde informatie-uitwisseling en analyse Zoals eerder gezegd zoekt men naar methoden en systemen om op een meer geautomatiseerde wijze informatie in de keten uit te wisselen en data te analyseren. Dit geldt voor de commerciële partijen in de keten maar ook voor de autoriteiten. Het gaat daarbij om verschillende organisaties zoals douane, politie, ‘ immigration’ , etc.
PROTECT 2005
6.3.4
64 / 94
Beveiliging in de logistiek De volgende aspecten zijn duidelijk van belang bij beveiliging in de logistiek: 1. Flexibiliteit richting klanten aan de ene kant en de noodzaak tot een hoog security niveau aan de andere kant brengt een rederij in een lastige positie. Men wil zich in de markt onderscheiden door flexibel te zijn, late aanlevering te accepteren, etc. Dit is nodig om een bestaansrecht te houden op de lange termijn. Anderzijds is men gedwongen om strenge veiligheidsmaatregelen te treffen die deels de flexibiliteit negatief beïnvloeden. Met name informatie-uitwisseling door de keten heen (vooraanmelding) lijkt een middel om hier een balans in te vinden. 2. Het beveiligen van één schakel in de keten blijkt vrij goed mogelijk. Echter, het garanderen van de veiligheid door de hele keten heen, bijv. wanneer de terminalfunctie gecombineerd wordt met transport per rail van en naar Polen, dan blijkt dat allemaal veel lastiger te zijn. 3. Voor rederijen en terminals zijn green lane concepten een groot voordeel. In het geval alle aangeleverde lading een ‘groen stempel’ zou hebben dan zouden er veel minder controles, veel minder spot checks, etc. plaats hoeven te vinden, waardoor het proces op de terminal ongehinderd optimaal uitgevoerd kan worden. 4. In de beveiliging op de terminal speelt personeel een belangrijke rol. De basis van het veiligheidssysteem zijn de mensen die daar een rol in spelen. Personeelsscreening is dus van belang. Daarnaast dienen er duidelijke procedures, etc. te bestaan zodat het personeel ook weet hoe te handelen in iedere situatie. 5. Afstemming tussen de commerciële partijen (rederij) en de autoriteiten is belangrijk evenals afstemming tussen de autoriteiten onderling. Aan de Nederlandse kant is de controle door autoriteiten relatief gecentraliseerd, aan de Engelse kant bestaat duidelijk een driedeling tussen douane, immigratiedienst en politie.
6.4
Luchtcontainertransport van Europa naar de Verenigde Staten
6.4.1
Actuele grondvorm De logistieke luchtvrachtketen heeft betrekking op hoogwaardige elektronische goederen. Deze worden opgeslagen in een Europees Distributie Centrum (EDC) in Nederland. Vanuit het EDC worden ook goederen naar Amerika geëxporteerd. Voor deze case studie is alleen gekeken naar de export naar Amerika, maar het merendeel van de goederen worden per vliegtuig vanuit Azië geïmporteerd. De focus van het onderzoek ligt op de betrokken logistieke partijen in Nederland. Onderstaand figuur toont de schakels van de logistieke keten op twee niveaus. De bovenste transactielaag geeft de commerciële relaties van de keten weer. De onderste operationele laag illustreert de fysieke transportketen.
65 / 94
PROTECT 2005
Shipper
LSP
Transporter
Forwarder
Freight Handler (land)
Transporter
customs
Freight Handler (air)
airline
Freight Handler (air)
Transporter
Freight Handler (land)
Transporter
customs
customs
customs
Cargo handler airside Schiphol
Cargo handler airside US airport
Bonded warehouse Cargo handler Landside US airport
E The Netherlands
Bonded warehouse Cargo handler Landside Schiphol
customer
Figuur 30: Een logistieke keten van hoogwaardige elektronische goederen vanaf Nederland naar VS
De verlader heeft de activiteiten van het EDC uitbesteed aan een logistiek dienstverlener. Ook de organisatie van de keten is uitbesteed aan een expediteur die tevens verantwoordelijk is voor de facturatie. Vanaf het DC kunnen twee stromen ontstaan. Afhankelijk van de hoeveelheid wordt direct naar de 1e linie loodsafhandelaar vervoerd – zogehete direct feeder - of vindt er consolidatie plaats bij een 2e linie loodsafhandelaar. In beide gevallen is de 2e linie loodsafhandelaar verantwoordelijk voor vervoer van het DC naar de luchthaven. De 2e linie loodsafhandelaar op zijn beurt huurt het vervoer in bij een wegtransporteur. De 1e linie loodsafhandelaar is afhankelijk van de gekozen luchtvaart maatschappij. Eenmaal aangekomen in Amerika wordt het traject gespiegeld. De verantwoordelijkheid voor het vervoer aldaar ligt bij de klant. In de praktijk is de scheiding tussen de 2e linie loodsafhandelaar en expediteur soms niet of nauwelijks aanwezig is. Een aantal expediteurs biedt zelf de diensten van loodsafhandelaar aan. Hetzelfde geldt voor de 1e linie loodsafhandelaar en luchtvaartmaatschappij, ook deze twee functies kunnen in een geïntegreerd zijn. De trend van uitbesteden en focus op de kerncompetenties is echter duidelijk aanwezig in de luchtvaartketen. De nadruk in de luchtvracht ligt op snelheid. Hierdoor ontstaan veel onderlinge afhankelijkheden. Om die reden monitort de verlader de transporten zo goed als mogelijk, zodat op eventuele afwijkingen ingespeeld kan worden. De onderlinge afhankelijkheden worden nog eens versterkt door het uitbesteden in de keten. Deze wordt zo goed als mogelijk opgevangen in de contracten. De verlader heeft als voorwaarde laten opstellen, dat de expediteur niet verder mag uitbesteden dan twee lagen. Daarnaast moeten alle partijen die ingeschakeld worden bij de verlader bekend zijn. De verlader heeft deze selectie gemaakt op basis van ervaringen uit het verleden. Vanwege de snelheid in de luchtvaart wil de verlader de kans op douane controles tot het minimum bepreken, maar ook de kans op diefstal en andere externe risico’ s. Dit is ook een van de redenen waarom de expediteur alleen met goedgekeurde ketenpartijen mag werken.
66 / 94
PROTECT 2005
6.4.2
Actuele security Binnen de luchtvaartketen wordt onderscheid gemaakt in beveiligingsmaatregelen tegen criminaliteit, smokkel en terrorisme. Deze driedeling wordt gemaakt, omdat een maatregelen tegen terrorisme bijvoorbeeld niet per definitie wordt geaccepteerd als een middel tegen smokkel en visa versa. Voor deze PROTECT analyse wordt alleen onderscheid gemaakt tussen criminaliteit en terrorisme, waarbij smokkel onder beide categorieën als activiteit kan worden ingezet. De verlader van hoogwaardige goederen is zich bewust van het verhoogde risico op diefstal die hij loopt. Om deze reden stellen zij duidelijk eisen aan de opslaglocaties en transporten van hun goederen. De meeste risico’ s ziet de verlader tijdens transport en op luchthavens bij 1e linie loodsafhandelaar. Voor de andere locaties zoals het EDC en bonded warehouse wordt TAPA of vergelijkbare beveiligingsstandaard geëist. Met betrekking tot de 1e linie loodsafhandelaar is het moeilijker deze eisen neer te leggen, omdat zij door de luchtvaartmaatschappij wordt gekozen. Desalniettemin voert de verlader audits uit bij deze afhandelaren om hun beveiligingsniveau te toetsen en op een hoog kwaliteitsniveau te houden. Het risico van smokkel of toevoegen van elementen uit terroristisch oogpunt wordt door de verlader als een laag risico beschouwd. De expediteur daarentegen maakt gebruik van een eigen beveiligingsstandaard, dat veel meer het tegengaan van terroristische acties in ogenschouw neemt. Onderstaande Tabel 11 geeft een overzicht van de risico’ s per partij. Tabel 11: Actuele beveiligingsrisico’s in de luchtvracht van NL naar VS
Verlader
EDC
Expediteur 2e linie loods
Transport
1e linie loods
Luchtvaartmaatschappij
Criminaliteit
Terrorisme
Ongewenste toegang tot kantoor Ongewenst toegang tot ladinginformatie
Aanslag op kantoor
Diefstal Smokkel via verpakte goederen Diefstal Smokkel via verpakte goederen Diefstal Smokkel via verpakte goederen Diefstal Ongewenste toegang tot lading Diefstal Smokkel via verpakte goederen of ULD Diefstal Smokkel via ULD
Toevoegen van terroristische elementen aan lading Toevoegen van terroristische elementen aan lading Toevoegen van terroristische elementen aan lading Ongewenste toegang tot lading Sabotage Toevoegen van terroristische elementen aan lading Aanslag op vliegtuig Vliegtuig als Weapon of mass destructionn
PROTECT 2005
67 / 94
Voor alle bovenstaande beveiligingsrisico’ s speelt de human factor een cruciale rol. De mens maakt of breekt het betreffende beveiligingsniveau van een schakel in de keten tegen de opgesomde risico’ s. Door middel van screening kan de integriteit van een nieuwe werknemer worden vastgesteld. Het daadwerkelijk controleren van vorige werkgevers of een AIVD screening kunnen hiervoor worden ingezet. Door middel van training van de medewerkers op de werkvloer kan een security cultuur worden gecreëerd waarin een automatische controle middel kan ontstaan. Hieronder zal het beveiligingsvraagstuk per schakel in de keten worden besproken. De verlader heeft zich als known consignee laten registeren bij Air Cargo Nederland (ACN). Door deze aanmelding voorkomt hij het iedere keer ondertekenen van een security verklaring en hoeven de goederen geen aanvullende controle te ondergaan bij de 1e linie loodsafhandelaar. Het Europese Distributie Centrum voldoet aan de TAPA Freight Security requirements wat neerkomt op toegangscontroles, CCTV camera’ s, beveiligingsprocedures, training etc. Voor het transport van het DC naar de luchthaven zijn geen aanvullende veiligheidsmaatregelen genomen. De vrachtwagen wordt bijvoorbeeld niet gesealed, wel is een hardcover trailer een vereiste. Verder moeten het opgeleide en in security awareness getrainde (altijd de vrachtwagen afsluiten, de vrachtwagen nooit zonder toezicht laten staan etc) chauffeurs op de truck plaatsnemen. Bekende chauffeurs hebben een eigen toegangskaart tot de warehouse van 2e linie loodsafhandelaar, terwijl onbekende chauffeurs zich dienen te identificeren. De loods van de 2e linie afhandelaar voldoet aan TAPA-achtige eisen. Zo zijn er camera’ s geïnstalleerd en hebben alleen geautoriseerde personen toegang tot de loods. Het personeel heeft de in (EC) No. 2320/2002 verplichte security awareness training ondergaan. Verder is de loodsafhandelaar bij de Koninklijke Marechaussee aangemeld als erkend vrachtafhandelaar. Ook dit is een onderdeel van de (EC) No. 2320/2002 die in de Nederlandse luchtvaartwet is opgenomen. Om vracht te kunnen afleveren en ophalen bij de 1e linie loodsafhandelaar is een geldige legitimatie, bijvoorbeeld via ACN kaart, met de juiste documenten vereist. De ACN kaart bevat een pasfoto en is uitgerust om in de toekomst biometrische gegevens te kunnen registreren en verschaft toegang tot het beveiligde terrein. Op het moment bestaat geen koppeling tussen de ACN kaart enerzijds en de goederen die worden opgehaald of gebracht en het vrachtwagenkenteken anderzijds. Eenmaal aangekomen bij de 1e linie loodsafhandelaar vindt controle van de zending plaats op Registered Agent en known/unknown consignor. Wanneer het een unknown consignor betreft volgt een extra controle, waarmee de goederen ‘known’ gemaakt worden. De aangeleverde goederen worden gewogen en vergeleken met het opgegeven gewicht. Gewicht is van cruciaal belang in de luchtvaart in verband met de gewichtsverdeling in het vliegtuig. De chauffeur moet bij de gewichtscontrole aanwezig zijn als getuigen.
PROTECT 2005
68 / 94
Sinds juli 2005 is de luchtvaartmaatschappij verplicht 30% van alle zending naar Amerika te scannen. (uitgezonderd de door de Amerikaanse Overheid aangegeven zendingen) De Nederlandse wetgeving vereist een scan percentage van 5% voor alle export vracht van Regulated Agents ongeacht de bestemming. Andere Europese landen hebben dit scanpercentage lager vastgesteld. De scan vindt plaats door middel een scan apparaat dat de zendingen scant op restanten van explosieven of drugs. Gedurende de (korte) periode dat een zending bij de 1e linie loodsafhandelaar staat, is er een kans op extra controle door de douane naar aanleiding van hun profiel check. De douane kan hiervoor de X-ray scan gebruiken, die zich op twee plaatsen op de luchthaven bevindt. Voor goederen die direct worden aangeleverd in de loods moeten ULD’ s in de loods worden opgebouwd. Voor het opbouwen van ULD’ s worden orderpicklijsten uitgedraaid en worden de goederen gepickt. De opgebouwde ULD wordt gewogen om te controleren of de pickopdracht goed is uitgevoerd. Eventuele tekorten of overschot wordt op deze manier ondervangen. De loodsmedewerkers hebben alleen toegang tot de loods met een door het bedrijf uitgegeven pas. De ULD’ s worden door middel van ULD-trolley’ s naar het platform getransporteerd. Om toegang te krijgen tot het platform is een Schipholpas vereist. Deze kaart wordt uitgegeven door de luchthaven nadat 1) een security test is gehaald, 2) functie omschrijving is gecontroleerd, 3) een AIVD-screening positief is beoordeeld en 4) een platform veiligheidstest is gehaald. Een pasfoto, iris scan en gewicht worden op de kaart geregistreerd. Het bepalen van het gewicht heeft als doel om te voorkomen, dat mensen worden meegesmokkeld. Medewerkers van de luchthaven controleren de toegang tot het platform. Om de controle makkelijker te maken is het aantal toegangen naar het platform beperkt. Iedereen die passeert naar het platform moet zijn Schipholpas overleggen. Een continue random-visitatie vindt plaats. Dit houdt in dat tijdens een visitatie de andere medewerkers - na tonen van zijn Schiphol-pas - kunnen doorrijden. De eerst volgende die aankomt, nadat een visitatie is afgerond, kan aan een visitatie onderworpen worden. Een medewerker kan op deze manier tijdens zijn dienst meerdere keren gecontroleerd worden. Een visitatie bestaat uit een controle op het lichaam alsmede de persoonlijke eigendommen en cabine van het betreffende voertuig. Om werkpieken te spreiden wordt de lading in sommige gevallen enkele uren voor de vlucht op het platform geplaatst. De wetgeving vereist echter, dat de vracht onder continue supervisie moet staan. Om deze reden rijdt er een speciaal team van de 1e linie loodsafhandelaar op het platform rond om elk kwartier de vracht te controleren. Uiteindelijk worden de goederen in het vliegtuig geladen met de bijbehorende airwaybills. Wanneer een vliegtuig meer dan 12 uur buiten gebruik is geweest wordt die compleet gescreend alvorens hij secure verklaard te worden. Wanneer het een directe retourvlucht betreft, is het cockpit en cabinepersoneel verantwoordelijk voor de binnenkant en grondpersoneel voor de vrachtcompartimenten. Op vluchten naar Amerika moet de luchtvaartmaatschappij vier uur voor toetreding in Amerikaans luchtruim via het Advanced Manifest System vracht informatie doorsturen. Passagiersinformatie gaat via het APIS (Advanced Passengers Information System) De hierboven beschreven handelingen en beveiligingsmaatregelen hebben vooral betrekking op het operationeel niveau. Maatregelen van meer tactisch niveau hebben betrekking op het eisen van TAPA. Ook het uitvoeren van audits bij partijen in de schakel is een maatregel op tactisch niveau. Ook het uitvoeren van screening kan in
69 / 94
PROTECT 2005
deze categorie geschaard worden. Inschrijven als een erkend luchtvracht agent bij de Koninklijke Marechaussee (KMAR) kan ook gezien worden als een beveiligingsmaatregel op tactisch niveau. Hierbij moet worden aangemerkt, dat deze inschrijving slechts beperkt vrijwillig is, aangezien het voorkomt uit de Europese 2320/2002 wetgeving. Op dit moment zijn 606 luchtvracht gerelateerde bedrijven als openlijk erkend agent geregistreerd bij de KMAR. De KMAR gaat op korte termijn strikter controleren of erkende luchtvracht agenten zich aan de opgestelde regels houden. Zo wordt bijvoorbeeld gele kaarten uitgedeeld indien loodsdeuren niet zijn afgesloten en zo vrij toegankelijk zijn. Beveiligingsmaatregelen op strategisch niveau hebben betrekking tot het ontwikkelen van een eigen beveiligingsstandaard, zoals bij de expediteur het geval is. Ook de deelname van de verlader en expediteur aan C-TPAT valt onder strategisch beveiligingsmaatregelen. De achterliggende reden om deel te nemen aan dit security programma is om eventuele verstoring in de logistieke keten te voorkomen. Ook het deelnemen aan TAPA meetings en meewerken aan verder ontwikkelen van de standaard behoort tot beveiligingsmaatregel op strategisch niveau. Ook het aanvragen van een ACN security certificaat valt onder een maatregel op strategisch niveau. Tabel 12 geeft een algemeen overzicht van de actuele beveiligingsmaatregelen in deze containerketen. Tabel 12: Actuele beveiligingsmaatregelen in de luchtvracht van NL naar VS
Verlader
Criminaliteit
Terrorisme
Tactisch Betrouwbare expediteur en LSP Uitvoeren audits
Strategisch C-TPAT lid (via Amerikaanse importeur)
Operationeel Ingangscontrole bij kantoor Monitoren van in-transit goederen
EDC / Logistiek dienstverlener
Strategisch TAPA lid
Strategisch
Tactisch
Expediteur
Operationeel TAPA vereisten Strategisch TAPA lid Tactisch Erkend luchtvracht agent KMAR Audit supply chain partners
Strategisch C-TPAT lid (via Amerikaanse hoofdkantoor) Eigen security standaard/vereisten
70 / 94
PROTECT 2005
2e linie loodsafhandelaar
Transporteur 1e linie loodsafhandelaar
Luchthaven
Operationeel Ingangscontrole bij kantoor Security awareness training Tactisch Erkend luchtvracht agent bij KMAR Inschakelen betrouwbare transporteurs
Operationeel Security awareness training
Operationeel Toegangspassen Hekwerk, CCTV Security awareness training Operationeel Getraind personeel Hard cover trailers Strategisch ACN security certificaat TAPA associated member
Operationeel Security awareness training
Strategisch ACN security certificaat
Tactisch Erkend luchtvracht agent ACN card
Tactisch Erkend luchtvracht agent ACN card
Operationeel Hekwerk, CCTV, surveillance Ingangscontrole Aanwezigheid chauffeur bij weging Training personeel
Operationeel Hekwerk, CCTV, surveillance Ingangscontrole Aanwezigheid chauffeur bij weging Cargo Scanning (5% (EC) 2320/2002 en 30% van de zendingen naar Amerika) Training personeel Strategisch Voldoen aan alle wettelijke vereisten en daarmee voorkomen, dat de luchthaven op een black-list komt te staan
Strategisch Voldoen aan alle wettelijke vereisten en daarmee voorkomen, dat de luchthaven op een black-list komt te staan Tactisch Uitgeven van toegangspassen Invoeren van security restricted area’ s Screening van nieuw luchthaven personeel
Screening van nieuw luchthaven personeel
Operationeel Controleren toegangspassen
Operationeel Controleren toegangspassen
Tactisch Uitgeven van toegangspassen Invoeren van security restricted area’ s
71 / 94
PROTECT 2005
Visitaties
Luchtvaartmaatschappij
Douane
Visitaties Strategisch Voorkomen om geconfronteerd te worden met welke vorm van terroristische activiteiten dan ook
Tactisch Audit 1e linie loodsafhandelaren Voldoen aan security maatregelen om landingsrechten te behouden
Tactisch Audit 1e linie loodsafhandelaren Voldoen aan security maatregelen om landingsrechten te behouden
Operationeel Controle vliegtuig Security training Tactisch Risicoanalyse lading X-ray scan
Operationeel Controle vliegtuig Security training
In sommige gevallen is moeilijk onderscheid te maken tussen maatregelen tegen criminaliteit of terrorisme. Het aanmelden als erkend luchtvracht agent heeft namelijk verminderen van beide tot doel. Aangezien deze keten hoogwaardige goederen betreft die direct voor consumentengebruik aangewend kunnen worden, zal altijd een zekere gewildheid blijven voor deze producten. Aan de transporteur wordt vereist dat hij een betrouwbare vervoerder is, die met hard cover trailers en getraind personeel rijdt. Verder worden er geen specifieke beveiligingseisen aan hem gesteld, waardoor deze schakel een hoger risico factor blijft. Eventuele verbetering van de beveiliging kan gezien worden registratie van vertrek bij 2e en aankomst bij de 1e linie loodsafhandelaar. De ACN kaart kan voor deze registratie doeleinden gebruikt worden. Ook met sealen – al dan niet met e-seals - van transport tussen de verschillende schakels kan hogere beveiliging bereikt worden. Een andere deel van de keten die nog beperkt wordt afgedekt is hoofdzakelijk de 1e linie loodsafhandelaar elders in de wereld. De verlader erkent dit probleem en voert audits uit bij diverse 1e linie loodsafhandelaren in de wereld. Ook de luchtvaartmaatschappijen voeren dergelijke audits uit. Verder merkt de verlader op, dat ondanks de moderne middelen het goed monitoren van de zendingen nog altijd moeilijk blijft. Door inzicht te hebben in ketens die de expediteur organiseert en alleen gebruik te maken van bekende ketenpartijen is de transparantie weliswaar verhoogd, maar is de informatie nog niet toegesneden om het goed te kunnen volgen. Verhogen van de transparantheid (visibility) en onderlinge communicatie zal dit probleem verbeteren. Verdere ontwikkelingen en verbeteringen van communicatieplatformen speelt hierbij wel een belangrijke rol. Wellicht kan het reeds bestaande informatieplatform - Cargonaut – hierbij als basis dienen.
PROTECT 2005
72 / 94
Het gebruiken van extra schakel in geval van kleinere volumes brengt een verhoogd risico met zich mee. Vanwege de snelheid en de wensen van de klant is consolideren tot directe zendingen in het warehouse niet altijd mogelijk. De maatregelen tegen deze kwetsbaarheden zijn reeds genomen door de hoge security standaardeisen van 2de linie loodsafhandelaar. Op dit moment wordt alleen de chauffeur en zijn cabine aan een eventuele visitatie onderworpen bij toegang tot het luchthavenplatform. Hiermee bestaat de kleine mogelijkheid, dat iets toegevoegd is aan de vracht. In principe behoren de gewichtscontrole van de vracht en de toegangscontrole tot de loods dit te ondervangen. Echter de visitatie heeft als doel zeker te zijn dat de chauffeur niets heeft kunnen meenemen, maar dit zou evengoed bij de vracht verborgen kunnen liggen. 6.4.3
Security behoefte Gebaseerd op de interviews met de verschillende ketenpartijen, kunnen de volgende conclusies getrokken worden: 1. De human factor is cruciaal voor de beveiliging binnen de keten. Een goede screening en selectie procedures gecombineerd met trainingen kunnen bijdragen aan een verhoogd beveiligingsniveau. Betrokkenheid vanuit hoger management is hierbij eveneens belangrijk. 2. In verband met de privacy wetgeving in Nederland is het moeilijk om personeel te screenen voor werkzaamheden. Dit geldt voor nieuwe personeelsleden, maar ook voor het bestaande personeel. De mens blijft in de keten nu eenmaal de zwakste schakel. Op dit moment wordt door sommige partijen in de keten een verklaring van goed gedrag gevraagd, terwijl andere alleen vragen of deze aanvraag een bezwaar zou opleveren. In veel gevallen wordt een onverklaarbare gat van 6 maanden op een CV niet geaccepteerd. Meer eenduidigheid op dit gebied is welkom. 3. Sommige verladers geven de voorkeur aan vervoer van goederen in zogehete consumenten verpakkingen. Dit heeft voor hoogwaardige producten bijvoorbeeld tot gevolg dat zeer duidelijk is welke producten vervoerd worden. Op meerdere plaatsen in de keten wordt om deze reden gepleit voor standaardisatie van verpakkingen. Hierdoor ontstaat meer homogeniteit en kan gelegenheidsdiefstal worden teruggedrongen. Daarnaast kan door gebruik te maken van hogere kwaliteit verpakking het aantal beschadigingen worden vermindert. 4. Er blijft vraag – vooral vanuit de verlader – naar een hogere transparantheid (visibility) wanneer zijn producten onder weg. De tracking en tracing mogelijkheden die worden geboden zijn of te generiek (op geconsolideerde basis i.p.v. lading basis) en/of niet real time. 5. Een zijdelings onderdeel van visibility is de wens van de douane om de werkelijke verladers op de airwaybills te zien in plaats van consolidators of expediteuren. Voor de douane levert mogelijkheid voor een nauwkeurigere analyse op. 6. Verder is het wenselijk de kans op douane controle tot het minimum te beperken. Hierdoor wordt de tijdskritieke luchtvracht keten zo min mogelijk gestoord. Het voldoen aan alle vereisten voor zowel fiscaal als beveiliging kan hierbij helpen. Het
73 / 94
PROTECT 2005
voorgestelde Authorized Economic Operator (AEO) concept door de Europese Unie hiervoor het antwoord zijn. 7. Om kosten te besparen wordt 2e linie loodsafhandelaren ingeschakeld. Door gebruik maken van een extra schakel wordt meer risico genomen. De kostenafweging is hierbij veelal bepalend. Enerzijds kan de vrachtwagen geseald worden. Anderzijds kan de ACN pas breder ingezet worden door ook een koppeling te maken naar de cargo die wordt gehaald of gebracht en het kenteken van de vrachtwagen waarmee dit gebeurt. Middels een digitale vooraanmeldingen moeten deze koppelingen gemakkelijk gemaakt kunnen worden. 8. Ondanks de vele maatregelen tegen ongewenste activiteiten is er geen eenheid in de eisen die aan partijen in de luchtvracht worden gesteld. Dit heeft vooral betrekking op de TAPA eisen die bijvoorbeeld wel aan 2de linie loodsafhandelaren gesteld worden, maar niet aan de 1e linie. Meer uniformiteit zou welkom zijn. 9. Er bestaat een behoefte van onder andere de verladers om het scannen te verplaatsen stroomopwaarts in de keten. Hierbij vindt de scanning eerder plaats. Hierbij ontstaan twee praktische vraagstukken: a) hoe wordt de integriteit tijdens de andere schakels gewaarborgd en b) hoe wordt de scaninformatie in de keten gedeeld. Een breder informatieplatform kan hiervoor als oplossing dienen. E-seals en dergelijke kunnen de integriteit van de goederen waarborgen. 6.4.4
Beveiliging in de logistiek De volgende aspecten zijn duidelijk van belang bij beveiliging in de logistiek: 1. Evenals in de container case blijft logistieke betrouwbaarheid essentieel voor beveiliging. 2. Vooral in de luchtvaart sector zijn veel maatregelen geïmplementeerd na 11 september. Veel bedrijven in de keten hebben de nieuwe maatregelen snel moeten implementeren, maar zijn niet in de gelegenheid geweest bewuste afwegingen te maken. Bijblijven is voor het merendeel van de keten het voornaamste streven geweest. De beveiligingskosten zijn de laatste jaren in sommige delen (vooral dichter bij de luchthaven) exponentieel gestegen. Nu komt de gelegenheid te kijken of eventuele verbeteringen en besparingen mogelijk zijn. 3. Zoals eerder in deze analyse aangegeven is de menselijke factor bepalend voor de beveiliging binnen een keten en dient doormiddel van personeelswerving en selectie en geven van security trainingen op gewenst niveau bereikt te worden. . 4. De geïmplementeerde maatregelen in de luchtvracht zijn nog veelal schakel voor schakel en niet uniform. Tussen de schakel onderling is weinig communicatie. Het known consignee concept is een van de weinig keten maatregelen, maar voor goede ondersteuning is een IT structuur vereist. Momenteel wordt met de implementatie van DGVS (free zone) waarbij tussen de 1e en 2e linie loodsafhandelaren een administratie systeem ingevoerd. Dit zal de informatie uitwisseling op lading gebied verhogen. 5. Van soortgelijke strekking als punt 4 is de wens van verladers om meer inzicht te krijgen in de goederen die onderweg zijn. Sommige proberen momenteel al dan niet
74 / 94
PROTECT 2005
via logistiek dienstverlener of expediteur de gefragmenteerde informatie van de gehele keten tot één bij elkaar te verzamelen. 6. Ook in de luchtvracht is een Advanced Manifest Rule naar Amerika van toepassing, alleen in tegenstelling tot de zeevracht levert het geen directe voordelen op voor de luchtvaartmaatschappijen. De 4-uurs regel (4 uur voor binnentreden van Amerikaans luchtruim) levert geen verschuivingen op in deze tijdscruciale sector. 7. De Europese regelgeving 2320/2002 geeft interpretatieruimte voor de individuele lidstaat. Dit heeft erin geresulteerd dat niet overal de regels even strikt worden opgelegd. Het verplichte scanningpercentage in Nederland is bijvoorbeeld 5% in tegenstelling tot lagere percentages in andere Europese landen. Grotere uniformiteit binnen de Europese lidstaten is gewenst om eerlijk concurrentie te bevorderen. 8. Nieuwe technische ontwikkelingen op gebied van e-seals en tracking and tracing kunnen bijdragen aan verhogen visibility. Daarnaast kunnen nieuwe technologische ontwikkelingen eveneens mogelijkheden bieden voor verhogen van lading integriteit door betere scantechnieken. 9. Met oog op de toekomst is 100% scanning in de luchtvaart realistisch, maar de stand van de technologie en verdeeldheid in de branche staan dergelijke ontwikkelingen vooralsnog in de weg. Het gezamenlijk dragen van de kosten speelt hierbij een belangrijke rol.
6.5
Lege containers
6.5.1
Actuele security Met de invoer van de ISPS Code vallen alle zeeterminals onder een beveiligingsregime. Omdat de ISPS Code via wetgeving is vastgelegd (EU verordening en Nederlandse Havenbeveiligingswet) is het toezicht en de handhaving ook gewaarborgd. Onterecht wordt nogal eens aangenomen dat depots voor lege container, in het engels empty depots, ook onder de ISPS Code vallen. Dit is echter meestal niet het geval. Een terminal valt alleen onder de ISPS Code als er zeeschepen worden ontvangen, boven de 500BT, afkomstig van internationale reizen. In de haven van Rotterdam geldt dit slechts voor één van de ongeveer twintig empty depots. Ook in het kader van een nieuwe Europese richtlijn aangaande de verbetering van havenbeveiliging worden empty depots niet geadresseerd. Deze wetgeving, die medio 2007 van kracht zal worden, is er op gericht kritische infrastructuur in havens (beter) te beveiligen. De conclusie moet zijn dat op dit moment depots voor lege containers niet onder een wettelijk beveiligingsregime vallen. Omdat empty depots niet als ketenpartners worden gezien doen stakeholders dan ook geen beroep op hen als het om security gaat. Incentives, zoals diefstalpreventie, om vanuit eigen initiatief te beveiligen bestaan ook nauwelijks. In de regel zijn deze depots dus slecht beveiligd, terwijl zij toch een belangrijke leverancier zijn van containers aan een terminal/reder. Hoewel er niet echt sprake is van een logistieke keten, is de rol van een empty depot niet veel anders dan die van een verlader. Men levert immers containers aan een terminal, de inhoud (leeg of vol) doet er minder toe. Vanuit antiterrorisme perspectief is alleen de vraag interessant
75 / 94
PROTECT 2005
wat er kan worden toegevoegd aan de container. Het moge duidelijk zijn dat je aan een lege container iets kan toevoegen. Naast het ontbreken van een kwalitatief volwaardige beveiliging hebben de meeste empty depots een aantal kenmerken dat de sector op security gebied extra kwetsbaar maakt, opgesomd zijn dit de volgende: • • • • •
•
6.5.2
De opgeslagen lege containers op een empty depot zijn niet verzegeld. In deze sector is screening van personeel niet aan de orde. Het zijn meestal kleine organisaties waarbij relatief veel mensen inzicht en invloed hebben op die lege containers die aan een reder worden geleverd. Fysieke maatregelen, zoals een toegangspoort, zijn wel aanwezig maar zijn gericht op het logistieke proces. Security krijgt niet veel aandacht. Immers een lege container hoeft ten aanzien van diefstal niet te worden beveiligd. In gevallen dat een empty depot naast een (zee-)container terminal is gelegen, en men voor de aanvoer gebruik maakt van interne banen, worden de containers vrijwel niet gecontroleerd voordat deze worden overgedragen aan een schip/reder. Ook het schip/reder controleert niet of de containers leeg zijn. Lege containers hebben een unieke status in Douanesystemen. Men kan wel op het manifest van een schip zien welke de lege containers zijn echter deze worden vrijwel nooit geselecteerd voor controle in de haven van herkomst. Douane targeting systemen beschouwen lege container als niet interessant (herkomst: haven, inhoud: leeg)
Security behoefte Bij een empty depot is het gebruikelijk dat een container wordt geïnspecteerd op het moment van binnenkomst. Dit heeft te maken met aansprakelijkheid en contractuele voorwaarden. De containers moeten leeg en veegschoon zijn. Vervolgens worden de containers gerangschikt, in de meeste gevallen per reder met het principe first in, first out. Dit FIFO principe maakt het dan ook redelijk voorspelbaar welke lege containers aan een reder worden meegegeven, de bestemming is dan echter nog niet bekend. Als een rederij de opdracht geeft aan een schip om een x-aantal lege container mee te nemen geeft men deze opdracht door aan de containerterminal. Deze zal wellicht een zeer beperkte eigen voorraad hebben maar meestal wordt meteen het empty depot op de hoogte gesteld. Als een empty depot lege containers levert aan een terminal dan worden deze containers vrijwel nooit gecontroleerd. De specifieke risico’ s die gepaard gaan met de processen op empty depots kunnen aanzienlijk beperkt worden door enkele fysieke en procedurele maatregelen die variëren van eenvoudig tot verstrekkend. Hieronder wordt een opsomming gegeven van deze maatregelen. 1. Verzegeling van lege containers. Nadat een container is geïnspecteerd bij aanlevering aan het depot wordt deze verzegeld. Deze verzegeling wordt niet meer verwijderd totdat de container weer beladen moet worden, waar ook ter wereld. Hiermee wordt de kans aanzienlijk verkleint dat iemand ongemerkt, op het depot, iets in de container stopt. 2. Controle van lege container bij overdracht van depot naar terminal. Zelfs met een verplichte verzegeling voor lege containers in depot is het wenselijk om te controleren of containers daadwerkelijk leeg zijn als deze worden overgedragen aan een terminal. Bij fysieke inspectie zal de container moeten worden opgemaakt, en een eventuele verzegeling moet dan worden verbroken
PROTECT 2005
76 / 94
en opnieuw plaatsvinden. Fysieke inspectie is een tijdrovend en duur klusje, het zou daarom zeer interessant zijn als dit automatisch plaats kon vinden. Op dit moment worden er proeven gedaan met zgn. scan straten op container terminals. Hierbij worden alle containers aan elektronische inspectie onderworpen zoals Nucleaire detectie, X- of gamma-ray scannen en RFID scannen. Technische gezien is het mogelijk de computer een uitspraak te laten doen over de status WEL of NIET leeg van een container. Dit lijkt een ideale oplossing voor het probleem. Bij een terminal waarbij op deze wijze lege containers gecontroleerd worden zou zelfs een verzegeling niet meer noodzakelijk zijn. 3. Screening van personeel op sleutelposities. Op een gemiddeld empty depot staan duizenden lege containers. Vanuit het perspectief van iemand die kwaad wil is het dus heel interessant om van te voren te weten welke container naar welke bestemming gaat. Er zijn een aantal functies te benoemen van mensen die over deze informatie kunnen beschikken. Deze functies zijn vooral administratief van aard. Het lijkt een minimum eis dat mensen op deze functies gescreend worden.
77 / 94
PROTECT 2005
7
Conclusie en aanbevelingen
7.1
Vraag en aanbod naar supply chain security De ontwikkelingen in supply chain security lopen in het aanbod harder dan in de vraag. Dat is de belangrijkste conclusie van het eerste onderzoeksjaar van PROTECT. Overheden ontwikkelen wetgeving en kennisinstellingen zoeken naar mogelijkheden voor supply chain resilience. Daarnaast worden procedures voor security management ontworpen om in te kunnen spelen op komende wetgeving.
Aanbod van supply chain security
Vraag naar supply chain security
Theorie
Security management Resilience
Kwaliteitsaspect Ketentransparantie
Praktijk
Wetgeving ISO 28000 IT
Naleving van verplichte regels
Figuur 31: Vraag en aanbod van supply chain security
In de vraagkant, denken bedrijven na over dreigingen, maatregelen en effecten daarvan, maar beveiliging wordt nog veel gezien als een extra ‘bedreiging’ , en niet als een ‘kans’ . Internationale goederenstromen worden steeds meer beïnvloed door ontwikkelingen in ketenbeveiliging. Naleving van beveiligingswetgeving is essentieel voor het voortbestaan van een bedrijf. Hiernaast kan participatie in vrijwillige initiatieven voor ketenbeveiliging een strategisch voordeel geven door middel van ketentransparantie. Beveiliging is hierbij een kwaliteitsaspect. Tijdig inzicht in de effectiviteit en de toepassingsmogelijkheden van procedures en technieken kan over enkele jaren het verschil uit maken voor het succes van een bedrijf. Kans of bedreiging, zeker is dat bedrijven er een concurrentiefactor bij hebben. 7.2
Aanbodkant
7.2.1
Komende wet- en regelgeving en standaarden World Customs Organisation (WCO) en Europese Unie (EU) ontwikkelen momenteel wetgeving inzake ketenbeveiliging.
PROTECT 2005
78 / 94
Het actuele Framework of Standards (WCO, juni 2005) wordt het (eerste halfjaar van 2006) uitgebreid met een security deel. WCO stelt hierbij voor dat douanes van lidstaten een security Autorised Economic Operator (AEO) instellen en dat zij zich moeten gaan richten op wederzijdse erkenning van de nationaal erkende security AEOs. Een WCO-lidstaat kan vrijwillig kiezen om het Framework te tekenen. EU-lidstaten zijn gezamenlijk door EU vertegenwoordigd en ontwikkelen eigen, maar soortgelijke instrumenten voor security. Binnen de EU ontwerpt DG Taxud fiscale wetgeving. Vanuit dit perspectief wordt de bestaande fiscale Authorised Economic Operator (AEO) uitgebreid met een security AEO. Hiervoor gaan o.a. security managementeisen gelden. De AEO is vrijwillig. Hiernaast is DG TREN bezig met een verordening inzake ketenbeveiliging. De uiteindelijke tekst van de verordening wordt waarschijnlijk begin maart gepubliceerd. In de huidige concepttekst stelt DG TREN dat ketenbeveiliging alleen bereikt kan worden op basis van bewustzijn en management van beveiliging. De concepttekst introduceert de ‘known operator’ als kwalificatie voor bevoordeling bij douaneaangelegenheden. De status toegewezen te worden door een nationale autoriteit die door een desbetreffende Lidstaat moet worden aangewezen. De concepttekst definieert 4 groepen logistieke activiteiten die elk hun eigen beveiligingskarakteristieken hebben: (1) voorbereiding van goederen voor verzending op de productielocatie, (2) transport van goederen, (3) forwarding van goederen en (4) warenhousing, opslag en inland terminalactiviteiten. Een logistiek bedrijf die zich met een van deze 4 typen activiteiten bezighoud kan de ‘known operator’ status vrijwillig bemachtigen als het een security management systeem hanteert, als het security risico’ s tegengaat en een continu verbeterprogramma gebruikt. Vanuit AEO en ‘known operator’ ontstaat er dus een behoefte naar een operationalisering van de term ‘security management systeem’ . Dit is in 2005 binnen de International Organization for Standardization (ISO) opgepakt in Technical Committee Marine (TC 8). Een werkgroep van TC 8 heeft ISO 28000 als inventarisatie van security procedure-onderwerpen ontwikkeld. Deze is in december 2005 gepubliceerd. Momenteel wordt ISO 28001 afgerond die dient als standaard voor een risicoanalysemethodiek. Met deze methodiek kan een bedrijf volgens de juiste analysestappen de juiste prioriteiten leggen in securitymaatregelen (incl. procedures) op basis van de zelf geïnventariseerde risico’ s. Parallel hieraan heeft de European Committee for Standardization (CEN) een expert group (WG161/EG5) in het leven geroepen om te onderzoeken of er voor de EU aanvullende standaarden nodig zijn op het gebied van supply chain security. Deze Expert Group maakt deel uit van WorkGroup 161 ‘Security and Protection of the Citizen’ dat een centraal thema is voor de veiligheid van de Europese burger. “ The expert group focuses on exploring possible needs for standards in 1) container security, 2) supply chain quality and security management systems, 3) coherence between parallel standards, establishing one-stop-shop (public) facilitation, and 4) possible standards for resilience, awareness, effective auditing and enforcement, and risk assessment.” (CEN/BT/WG161/EG5 SCS N030) De komende wetgeving, vrijwillig dan wel verplicht, en de komst van de standaarden kunnen een directe impact hebben op de (logistieke) organisatie van verladers,
PROTECT 2005
79 / 94
dienstverleners en andere logistieke ketenpartijen. Met name de internationaal opererende bedrijven zullen hiermee geconfronteerd worden. 7.2.2
Techniek ondersteunt beveiliging Informatie- en communicatietechnologie (ICT) biedt een belangrijke ondersteuning van beveiliging. ICT kan worden ingezet voor beveiliging op één locatie en voor de hele keten. Locatiebeveiliging betreft de toepassing van technieken voor de geautomatiseerde controle op individuen. Hieronder vallen autorisatie bij vraag op toegang via in- en uitgang, directe melding van ongeautoriseerde toegang via andere wegen (b.v. klimmen over hekken), opnemen van beelden van risicovolle locaties in de goederenstroom (zoals bij order picking, laden en lossen). ICT kan bij toepassing in de keten de transparantie vergroten. Voorbeelden hiervan zijn: 1. Delen van zendingsinformatie, bijvoorbeeld voor vroegtijdige aanmelding; 2. Delen van transportinformatie (bv. ID chauffeur, kenteken) als dubbel controlemiddel; 3. Tracking van risicovolle lading; 4. Tracing van zendingen waarbij iets mis is gegaan; 5. E-seals: wie heeft toegang tot welke container. ICT is een belangrijk onderzoeksaspect in meerdere beveiligingsinitiatieven. Deze initiatieven vinden momenteel het meeste plaats in de maritieme sector en voornamelijk die van het wereldwijd containertransport. Er ontstaat een behoefte aan standaardisatie om internationale beveiliging van goederenstromen te verkrijgen. Standaardisatie heeft positieve invloed op: - de effectiviteit van tenuitvoerbrenging van wet- en regelgeving; - rationalisatie en interoperabilisatie van bedrijfsprocessen; - transformatie van ketens in geïntegreerde waardesystemen (‘value chain’ ) omdat security een kwaliteitsaspect is; - duurzaamheid; - vermindering van administratieve lasten.
7.3
Vraagkant
7.3.1
Beveiliging is een kwaliteitsaspect Beveiliging lijkt een kwaliteitsaspect te worden voor het bedrijfsleven. De enquête geeft aan dat verladers en dienstverleners zich hier steeds bewuster van worden. Beveiliging is niet alleen noodzakelijk om criminaliteit te voorkomen. Beveiliging heeft tegenwoordig ook direct effect op de wijze waarop een bedrijf zich in zijn markt kan manifesteren. Het kan gezien worden als kwaliteitsaspect vanuit de volgende gezichtspunten: 1. Beveiliging is een belangrijke factor voor de logistieke betrouwbaarheid die een bedrijf kan uitstralen in zijn markt. Als een partij zelf adequaat zijn beveiliging regelt, is het minder gevoelig voor criminaliteit en terrorisme en lopen zijn goederenstromen minder kans op (douane)inspecties. Daarnaast, als
80 / 94
PROTECT 2005
het een effectief beveiligingsniveau kan tonen, is het een interessante partij om mee samen te werken. Maatregelen in het kader van anti-terrorismebeveiliging kunnen de bedrijfsbeveiliging in algemene zin en de logistieke beheersbaarheid verbeteren. Een verbeterd management van beveiliging kan zo effectiever optreden tegen allerlei soorten ongeautoriseerde en ongewenste handelingen. 2. Beveiligingsmaatregelen kunnen de efficiëntie in het bedrijf verbeteren. a. Maatregelen kunnen ‘predeparture’ informatie vereisen. Een eerdere beschikbaarheid van (logistieke) informatie kan de logistieke planning bij ketenpartijen stroomlijnen. Dit leidt tot minder pieken. b. Maatregelen kunnen meer (logistieke) informatie beschikbaar maken. Deze kunnen tevens voor logistieke doeleinden worden ingezet. c. Maatregelen kunnen verantwoordelijkheden en procedures verduidelijken. Een bedrijf kan hierdoor adequater reageren als er iets mis gaat. Het opstellen en operationaliseren van beveiligingsprocedures kan de logistieke rationaliteit van het bedrijf verder optimaliseren, omdat het management vanuit een extra perspectief de inrichting van het bedrijf en de keten benaderd. Distributiestructuur, procestypen, afhankelijkheden van leveranciers en klanten, en verantwoordelijkheden kunnen hiermee aangescherpt worden; 3. Het beveiligingsimago is veelal doorslaggevend. Perceptie van de markt over het beveiligingsniveau van een bedrijf beïnvloedt sterk de wijze waarop klanten en toeleveranciers om gaan met een bedrijf. Incidenten kunnen deze perceptie sterk beïnvloeden, ook al hanteert een bedrijf strenge beveiligingsprocedures en andere (technische) beveiligingsmaatregels. 7.3.2
Visie ketenbeveiliging Vanuit het conceptueel raamwerk voor ketenbeveiliging en meerdere case studies concludeert Vrijenhoek (2005) dat ketenbeveiliging sterk afhankelijk is logistieke informatie. Het bereiken van ‘supply chain visibility’ kan plaatsvinden middels een IT platform. Figuur 32 visualiseert dat dit platform de informatie-uitwisseling faciliteert tussen de transactielaag en logistieke laag (zie ook Figuur 2).
Figuur 32: Visibility platform om ketenprestaties te verbeteren (Vrijenhoek, 2005)
Vanuit strategisch perspectief moeten bedrijven bewust zijn van de kwetsbaarheden in de logistieke structuur. Deze kwetsbaarheden moeten tussen ketenpartners duidelijk herkend en erkend worden, en men moet de nodige maatregelen invoeren om de risico’ s controleerbaar te maken.
81 / 94
PROTECT 2005
Een verbeterde ketenbeveiliging is alleen mogelijk wanneer ketenpartijen voldoende zicht hebben over de activiteiten en gebeurtenissen in de keten. Het delen van logistieke informatie is hierbij curciaal. Deze ‘supply chain visibility’ betreft tracking en tracing, en ketentransparantie voor verificatie en controles. Een verbeterde ‘supply chain visibility’ draagt vervolgens bij aan verbetering van de efficiëntie van logistieke ketenprocessen. Logistieke informatie kan niet alleen worden ingezet voor beveiligingsdoeleinden, maar heeft ook een logistiek nut. Dit kan de ketenprestaties verbeteren. Figuur 33 beschrijft een mogelijke configuratie van een internationaal logistiek proces, waarbij productie plaatsvindt in Azie, en distributie, via een EDC, naar een klant in Europa. In die keten spelen allerlei partijen een rol in zowel het fysieke als het commerciele traject. Met de verschillende kleuren is aangegeven welke security regimes gelden voor de onderscheiden partijen. De producent volgt het zogenaamde TAPA regime, wat erop neerkomt dat zijn logistieke dienstverlener in Europe en de daaraan gerelateerde vervoerders bepaalde veiligheidsmaatregelen in acht nemen (dit geldt met name voor hoogwaardige goederen). De andere partijen in de keten vallen onder het Europese ketensecurity regime. De terminals en de rederijen volgen een uitgebreid ISPS regime (uitgebreid naar het achterland in Eurropa). Deze veiligheidsregimes die gericht zijn op individuele partijen in de keten vormen een eerste laag van beveiliging (die overigens vaak uit een pakket maatregelen bestaat, zoals fysieke beveiliging, cameratoezicht, toegangscontrole, personeelscreening). Een tweede laag in het beveiligingsregime is het vereiste, of de mogelijkheid, om aan ketenpartners ook bepaalde eisen op te leggen. Dit is het geval voor het TAPA regime, maar ook voor het Europese ketenveiligheidsregime, of het Amerikaanse C-TPAT. In deze gevallen houdt het adopteren van een regime in dat de bewuste partij zichzelf oplegt om aan al haar partners dezelfde eisen op te leggen.
Manuf Transporter
Forwarder
Forwarder Terminal
liner
terminal
Inland carrier
Inland terminal
Transporter
LSP
Transporter
Full visibility customs
customs
customs
customs
Data capture
E
P Manufacturer
Port Asia
Port Europe
Inland terminal
European DC (bonded warehouse)
Figuur 33: Visie ketenbeveiliging. (zie bijlage 5 voor legenda)
Figuur 33 onderkent drie niveaus in een internationale logistieke keten: een operationele laag (onderaan), waar de fysieke processen plaatsvinden, een transactielaag waar de commerciële processen plaatsvinden, en een tussenlaag waarin controle activiteiten plaatsvinden. In het bovenstaande figuur is daar de douane in weergegeven, maar in de praktijk betreft het meerdere controle-instanties.
PROTECT 2005
7.3.3
82 / 94
Beveiliging bestaat uit procedures Garantie voor 100% veiligheid kan nooit worden gegarandeerd. Risico’ s zijn overal in de keten aanwezig en elke beveiligingsmaatregel heeft wel zwakten. Procedures moeten worden afgesproken om het grootste risico voor beveiliging, de menselijke factor, zoveel mogelijk te beperken en controleerbaar te maken. Procedures zijn daarmee essentieel voor de beveiliging van goederenstromen. De menselijke factor is op drie niveaus een risico: 1. Bedrijfsinterne risico’ s: procedures moeten het doen en laten van werknemers controleerbaar maken dat werknemers zelf geen ongeautoriseerde en/of ongewenste activiteiten kunnen ontplooien. 2. Keteninterne risico’ s: procedures moeten werknemers alert maken en houden op het gedrag aanwezige personen die toegang hebben tot locaties en/of de goederenstroom. Dit betreft onder meer klanten, leveranciers, dienstverleners en bezoekers. 3. Externe risico’ s: procedures moeten (poging tot) ongeautoriseerde toegang tot locaties en/of de goederenstroom tijdig signaleren en tijdig effectieve tegenmaatregelen initiëren. De methodiek van ISO/PAS 28000/28001 geeft een bedrijfskundige basis om ketenrisico’ s tegen te gaan met beveiligingsprocedures. Het levert een voorbeeld op voor de wijze waarop een bedrijf een adequate beveiligingsstrategie kan ontwikkelen.
7.3.4
Organisationele maturiteit bepaalt benodigde investeringen Beveiligingsmaatregelen kosten per definitie investeringen. Afhankelijk van het type maatregel gaat het om een combinatie van eenmalige investeringen en maatregelen die continu een kostenpost zijn. Hoeveel investering er nodig is, wordt niet alleen bepaald door de risico’ s waarmee een bedrijf te maken heeft. De benodigde investering is ook afhankelijk van hoe effectief een bedrijf de interne organisatie en het ketenmanagement op orde heeft. Indien een bedrijf al een effectief managementsysteem heeft, zal dit bedrijf beveiliging eenvoudiger en effectiever kunnen managen dankzij integratie in de reeds bestaande procedures en verantwoordelijkheden. Indien een bedrijf al gewoon is met de toepassing van informatiesystemen, zal het ook adequater beveiligingsinformatie uit kunnen wisselen naar de relevant instanties.
7.4
Stappenplan voor supply chain beveiliging Beveiliging speelt op allerlei niveaus in uw bedrijf een rol. Een gestructureerde en doordachte aanpak voor ketenbeveiliging is daarom belangrijk. Voor een bedrijf gaat het daarbij om het vervullen van een passende rol die gerelateerd is aan uw rol in de keten. PROTECT stelt het volgende stappenplan voor:
83 / 94
PROTECT 2005
Stap 1: Bewustwording
Stap 2: Definitie beveiligingsmissie
Stap 3: Afweging van beschikbare maatregelen
Stap 4: Opstellen bedrijfsbeveiligingsplan
Stap 5: Implementatie
Figuur 34: Stappenplan voor ketenbeveiliging
7.4.1
Stap 1: Bewustwording De eerste stap voor een organisatie is het creëren van bewustzijn. Vaak is het een security of logistiek manager die als eerste met het onderwerp ketenbeveiliging in aanraking komt en besluit dat hier binnen het bedrijf iets mee gedaan zal moeten worden. Hiervoor is echter commitment nodig van het management van het bedrijf en medewerking van verschillende afdelingen. De centrale vraag in deze eerste stap is dan ook: hoe en waarmee kan een security of logistiek manager de organisatie overtuigen van nut en noodzaak tot het nemen van actie op het gebied van ketenbeveiliging.
Voorbeeld: laat personeel een veiligheidcursus volgen bij een beveiligingsbedrijf. Bedrijven kunnen kunt via uw branchevereniging informeren naar goede cursussen en cursusaanbieders.
7.4.2
Stap 2: Definitie beveiligingsmissie De tweede stap is het definiëren van een beveiligingsmissie voor het bedrijf. Deze missie is van belang vanwege de variëteit aan security-initiatieven. Er moeten keuzes worden gemaakt: waar spelen we als bedrijf wel / niet op in? Ten einde deze keuzes te kunnen maken kan een ‘beveiligingsmissie’ worden gedefinieerd die in ieder geval duidelijk maakt wat het bedrijf met beveiligingsmaatregelen wil bereiken. Onderwerpen die aan de orde komen zijn bijvoorbeeld: • •
Wil het bedrijf een voorloper zijn op dit gebied of een volger? Welke eisen leggen andere ketenpartijen ons op?
PROTECT 2005
• •
84 / 94
Is het doel om ‘slechts’ aan de wet te voldoen of om de logistieke keten maximaal te beveiligen? Ligt de focus op beveiligingsmaatregelen of op het realiseren van logistieke voordelen door middel van dit type initiatieven?
De rol van het topmanagement is in deze fase essentieel. Niet alleen bepalen zij op welke wijze de beveiligingsmissie en strategie passen in het plaatje van de totale bedrijfsstrategie. Ook zullen zij een stimulerende rol moeten vervullen bij het bewustmaken van de organisatie wanneer het gaat om beveiligingsaangelegenheden. Voor het vervolg van het beveiligingsinitiatief binnen het bedrijf kan een kernteam worden samengesteld dat verantwoordelijk is voor de coördinatie van de te ontwikkelen beveiligingsinitiatieven. Wanneer een organisatie heeft vastgesteld hoe haar beveiligingsmissie luidt en een kernteam heeft aangesteld, kan gestart worden met het zoeken van relevante initiatieven en daaraan gekoppelde maatregelen.
Voorbeeld: Organiseer een threat-analysis workshop om te bepalen welke kwetsbaarheden in het bedrijf en in de keten bestaan.
7.4.3
Stap 3: Afweging van maatregelen Nadat de beveiligingsmissie vastgesteld is, kan er een keuze worden gemaakt in de vele potentiële initiatieven die op het bedrijf afkomen. Centrale vragen in dit proces zijn: • • •
Welke nieuwe initiatieven zijn relevant en wat zijn de implicaties daarvan voor het bedrijf? In hoeverre wil het bedrijf ook ketenpartners bij de invoering van initiatieven gaan betrekken? Wat zijn de budgettaire gevolgen van de verschillende initiatieven en de daaraan gekoppelde maatregelen?
Voorbeeld: voer een gedetailleerde scan uit om te bepalen in hoeverre uw organisatie nu al voldoet aan de eisen van ISO 28000.
7.4.4
Stap 4: Opstellen bedrijfsbeveiligingplan De volgende fase in het proces is het daadwerkelijk opstellen van een bedrijfsbeveiligingplan. Wanneer de relevante initiatieven in kaart gebracht zijn, komen de praktische zaken aan bod. Er zal samen met de ketenpartners gekeken moeten worden naar de effecten van de maatregelen. De implementatie van beveiligingsmaatregelen raakt vrijwel altijd de andere partners in de keten. Zo zullen voorgaande schakels goederen of informatie op een aangepaste wijze moeten aanleveren en zal ook de opvolgende schakel met veranderingen geconfronteerd worden.
85 / 94
PROTECT 2005
Om het beveiligingsinitiatief te laten slagen is een gedegen projectaanpak nodig. Deze projectaanpak moet tenminste bestaan uit een aantal onderdelen: • • • •
Implementatieteam (projectleiding, verschillende expertises, externe experts) Planning (oplevermomenten, evaluaties, etc.) Budget (financiële middelen voor implementatie van maatregelen) Communicatie (rapportages in- en extern, communicatie met externe partijen)
Verder is vroegtijdige communicatie naar de verschillende belanghebbenden binnen en buiten het bedrijf van groot belang. Voor iedere (groep van) belanghebbenden geldt dat er verschillende zaken zullen veranderen. Door de betrokkenen tijdig in te lichten over de redenen voor en de aard van de verandering kan een groot deel van de natuurlijke weerstand van mensen tegen verandering worden weggenomen.
Voorbeeld: werk samen met een beveiligingsadviesbedrijf dat door middel van een toolkit een beveiligingsplan kan opstellen dat voldoende bedrijfsspecifiek is en voldoet aan allerlei internationale normen. Verzekeringsmaatschappijen bieden soms ook dergelijke ondersteunende tools aan.
7.4.5
Stap 5: Implementatie en evaluatie Bij de uiteindelijke implementatie is monitoring belangrijk. Door de vorderingen te spiegelen aan de planning, het budget en andere elementen van het vooraf opgestelde bedrijfsbeveiligingsplan kunnen afwijkingen en problemen vroegtijdig worden gesignaleerd en verholpen. Het kernteam heeft hierin een belangrijke taak. Tijdens de evaluatie van het beveiligingsplan wordt niet alleen gekeken naar de wijze waarop het implementatieproject is verlopen. Het gaat ook om te toetsen in welke mate de effecten van de genomen beveiligingsmaatregelen voldoen aan de vooraf vastgelegde verwachtingen. Resultaten worden dus getoetst aan de in stap 2 vastgestelde beveiligingsmissie. Evaluatie kan uiteraard leiden tot het bijstellen van eerdere fasen in de aanpak. ISO 28000 bijvoorbeeld, geeft naast een gedetailleerde beveiligingsstrategie ook richtlijnen voor de evaluatie en het continue verbeteringsproces voor gerelateerde bedrijfsprocessen. Aangezien beveiliging in de keten voor veel bedrijven een relatief nieuw onderwerp is, zal in deze evaluatie soms ook de conclusie worden getrokken dat het proces zoveel nieuwe inzichten opgeleverd heeft, dat de beveiligingsmissie bijgesteld dient te worden.
Voorbeeld: organiseer een jaarlijks terugkerende beveiligingsdag waarbij teruggekeken wordt op de beveiligingsincidenten in het afgelopen jaar, en waar met het relevante personeel het huidige beveiligingsplan tegen het licht gehouden wordt. Daarbij kan gebruik gemaakt worden van een landelijke incidentenregistratie of met ketenpartners zelf een dergelijk systeem opzetten.
86 / 94
PROTECT 2005
7.4.6
Tot slot Het bovenstaande stappenplan geeft inhoud aan de visie dat bedrijven zelf dienen te bepalen wat ze aan beveiliging doen. Van buitenaf komt er veel op bedrijven af aan beveiligingsinitiatieven, maar die initiatieven hebben vergelijkbare doelen, en bevatten veel gelijksoortige maatregelen, ook al lijkt dat niet altijd zo. Bovendien zijn die opgelegde maatregelen niet altijd het soort maatregelen waarmee de keten echt veiliger wordt. Het is daarom van belang dat bedrijven zelf een beveiligingsstrategie formuleren, en daarbinnen de maatregelen doorvoeren die zij met ketenpartners afspreken. Daarbij is het anticiperen op wettelijk verplichte maatregelen erg belangrijk. Alleen zo is het mogelijk om te beveiligen op het ‘juiste niveau’ en om naast kosten, ook daadwerkelijk efficiency- en andere voordelen te behalen.
7.5
Aanbevelingen voor onderzoek naar ketenbeveiliging in 2006 De tweede fase van het onderzoek start met het jaar 2006. Deze fase biedt de mogelijkheid om een aantal van de belangrijkste oplossingsrichtingen die in de eerste fase geïdentificeerd zijn ook daadwerkelijk uit te werken en te testen of te demonstreren. Gebleken is dat op beveiligingsgebied veel gebeurt, maar dat juist de transitie een struikelblok blijft. Bedrijven weten niet welke maatregelen voor hen relevant zijn, en hoe ze die moeten invoeren. Vaak zijn alleen de kosten erg zichtbaar, en de baten niet of nauwelijks. WP 4 draagt de volgende onderwerpen aan voor nader onderzoek in 2006: 1. op welke manier kan een informatiearchitectuur vorm krijgen in de praktijk, en wat is daarbij de rol van bestaande initiatieven, en betrokken spelers zoals havens, douane, transportbedrijven, verladers, logistieke dienstverleners?
customs
Complete documentation on cargo including e-seal info
producent
Supply chain visibility
Audit trails/ Deviation reports Status reports
ontvanger
expediteur
expediteur
Transporteur Terminal rederij terminal
Binnenterminal Transporteur vaart
LSP
Transporteur
Video loading process X/gamma-ray scanning e-seal checks RFID P
Producent
Haven China
Haven Europa
E Binnenvaart Europees DC terminal (bonded warehouse)
Ontvanger
Figuur 35: Zichtbaarheid door de keten heen door middel van een informatiearchitectuur
PROTECT 2005
87 / 94
2. Hoe komt in een internationaal circuit een beveiligingsstandaard tot stand (bv EC, ISO, CEN), hoe verloopt het invoeringstraject en hoe is een dergelijke standaard aan te sluiten bij de wensen/behoeften van bedrijven? (transitievraag) 3. Hoe kan in het vrachtvervoer over de weg een security regime (zoals TAPA) worden ingevoerd voor hoogwaardige lading, en hoe is een dergelijk regime aan te sluiten op de wensen/behoeften van bedrijven? (transitie vraag)
PROTECT 2005
88 / 94
Referenties Becker, J.F.F., Verduijn, T.M., Kuipers, B. (2004), Global distribution structures: an overview of current trends, Dynamics in Chains and Networks, Proceedings of the sixth International Conference on Chain and Network Management, pp. 55-61, Ede, 27-28 May 2004. Christopher, M. (2003), Understanding supply chain risk: a self-assessment workbook, Cranfield School of Management, Centre for Logistics and SCM, Cranfield (UK). Aken, J.E. van, (1978), On the control of complex industrial organizations, PhD Thesis, ISBN 90-207-0840-6, Eindhoven University of Technology. Martinus Nijhoff, Leiden. COPAS (2005), RFID in transport, presentation on the PROTECT discussion meeting, organised by Port of Rotterdam, d.d. 13 September 2005. DG TREN, (Intermodal) Transport Security, Invitation to tender, No TREN/J4/242004, Brussels, 2004. DNV (2005), Study on the impacts of possible European legislation to improve transport security, Report for European Commission, DG TREN, 40008032-6-2B, October 2005. Europese Unie (2001), White Paper on European Transport Policy for 2010: Time to Decide, COM(2001) 370, 12-09-2001, Brussels. Eurostat (2004), Panorama of European Trade: data 1988 – 2001, Office for official publications of the European Communities, Luxembourg. Flynn, M. (2003), Boxing Clever, Sphere 9, p. 26-31, http://www.hutchisonwhampoa.com/eng/about/journal/Sphere9-Ports_e.pdf Lin, J. (2001), Inputs to white paper for proposed comprehensive maritime security strategy, US Customs. Lee, H.L., Whang, S. (2005), Higher supply chain security with lower cost: lessons from supply chain management, International Journal of Production Economics 96, pp. 289-300. Ministerie van Verkeer en Waterstaat (2005), Beveiliging (security) goederenvervoer: Wat is er gebeurd, waarom, voor wie, en wat staat ons nog te wachten?, presentatie bij KIVI op 24-02-05 van J. van Hekke, Hoofd Programma Security, Directoraat-Generaal Transport en Luchtvaart, Den Haag. Noda, S. (2004), Container shipping and security issues: the carrier’ s responsibility in the fight against terrorism, Maritime Economics & Logistics 6, pp. 157-186. Rice & Caniato (2003), supply chain response to terrorism – creating resilient and secure supply chains. MIT Center for Transport and Logistics, Interim report 8/11/2003. Sheffi, Y., (2005), The resilient enterprise, Massachusetts Institute of Technology press, Campridge/Massachusetss, London/England. SIMTAG (2003), Report on current practices, procedures, equipment, services and incidents, identifying weaknesses, regulatory and legislative requirements, SIMTAG consortium. Strategic Council on Security Technology (2003), Smart and Secure Trade lanes, http://www.savi.com/products/casestudies/wp.sst_initiative.pdf TRB (2003), Cybersecurity of freight information systems, special report 274, National Research Council Unysis (2004), A secure supply chain blueprint: secure your extended supply chain and realise key business benefits - White Paper,
PROTECT 2005
89 / 94
Wolfe, M. (2002), Technology to enhance freight transportation security and productivity, Appendix to: Freight Transportation Security and Productivity, Prepared for Office of Freight Management and Operations, Federal Highway Administration, US Department of Transportation.
90 / 94
PROTECT 2005
Bijlage 1: Overzicht beveiligingsinitiatieven Belangrijkste informatiebron over beveiligingsmaatregelen is het internet. In onderstaand overzicht vindt u per security maatregel de webpagina die meer uitleg geeft over de maatregel zelf en implementatie ervan. Daarnaast worden ook wijzigingen aan de desbetreffende regelingen bijgehouden zodat een actuele stand van zaken gegarandeerd is. Initiatief:
Link:
1. 2. 3. 4. 5.
ISPS ADR/ADNR Adv. Manifest Rule (VS) Air transport security AEO
6. 7.
Adv. Manifest rule (EU) Security Management System (EU)
8. 9. 10. 11. 12. 13.
TAPA - FSR Eurowatch ACN security certificate TAPA – TSR TAPA – Airfreight ISO Security Management System standard C-TPAT BASC PIP Stairsec Frontline Smart & Secure Tradelanes VACIS®
http://www.imo.org/home.asp http://www.tln.nl http://www.cbp.gov http://www.tsa.gov http://www.europa.eu.int/comm/taxation_customs/customs/ policy_issues/customs_security/index_en.htm http://www.europa.eu.int http://www.europa.eu.int/comm/taxation_customs/customs/ policy_issues/customs_security/index_en.htm http://www.tapaemea.com http://www.eurowatchcentral.com http://www.acn.nl http://www.tapaemea.com http://www.tapaemea.com http://www.iso.org
14. 15. 16. 17. 18. 19. 20.
BAWS ZOCA 21. Operation Safe Commerce 22. Portkey 23. ACN pas
http://www.cbp.gov http://www.cbp.gov http://www.cbsa-asfc.gc.ca/general/enforcement/partners/menu-e.html http://www.stairsec.se http://www.scst.info http://www.saic.com/products/security/mobile-vacis/ http://www.dtic.mil/matris/sbir/sttr03/a020.pdf http://www.zoca.nl http://www.worldshipping.org http://www.acn.nl
Overige links: International Road Transport Union European Shippers Council Transport en Logistiek Nederland EVO Nederland Distributieland WCO framework of standards to secure and facilitate global trade
http://www.iru.org http://www.europeanshippers.com http://www.tln.nl http://www.evo.nl http://www.ndl.nl http://www.wcoomd.org
91 / 94
PROTECT 2005
Bijlage 2: Afkortingen een lijst met verklaringen van de afkortingen van de in dit document genoemde initiatieven en organisaties. Afkorting:
Verklaring afkorting:
ACN ADR/ADNR
Air Cargo Nederland (vereniging van luchtvrachtbedrijven) Accord européen relatif au transport international des marchandises Dangereuses par Route Advanced (in advanced manifest rule) Authorized Economic Operator Aviation and Transportation Security Act Business Anti-Smuggling Coalition Biological Agent Warning Sensor Customs Trade Partnership Against Terrorism International Civil Aviation Organisation International Maritime Organisation International Ship and Port Facility Security Code International Organization for Standardization Korps Landelijke Politie Diensten Partners in Protection Radio frequency identication Technology Asset Protection Association – Freight Security Requirements Technology Asset Protection Association – Truck Security Requirements TRansition towards SUstainable MObility Vehicle and cargo inspection system Verenigde Staten van Amerika United Nations Economic Commission for Europe World Customs Organisation
Adv. AEO ATSA BASC BAWS C-TPAT ICAO IMO ISPS Code ISO KLPD PIP RFID TAPA - FSR TAPA – TSR TRANSUMO VACIS VS UN-ECE WCO
92 / 94
PROTECT 2005
Bijlage 3: Deliverables werkpakket 4 Werkpakket 4 heeft de volgende deliverables opgeleverd in 2005: Taak 4.1 4.2.1 4.2.1 4.2.2 4.2.3 4.2.3 4.2.3 4.2.4 4.2.4 4.2.4 4.2.4 4.2.4 4.3 4.3 4.3 4.3
4.4 4.5
Rapport Logistics Security Framework Supply chain security collaboration in worldwide supply chains Beveiliging in de logistieke keten Een praktische aanpak IT-Tools for Supply Chain Security
Taal Eng Eng
Oplevering Juni September
NL
November
Eng
November
Supply chain security analyse ro-ro intra-europees transport Supply chain security analyse luchtvracht export Supply chain security analyse zeevracht export ISO standard for security management in the supply chain Summary of meeting discussions and achievements ISO/PAS 28000 & 28001 ISO/PAS 28001 Supply Chain Security
NL
December
NL
Oktober
NL
Oktober
Eng
Augustus
Eng
Augustus
NL
Oktober
NL
November
PROTECT consortium Betrokken partijen Betrokken partijen Betrokken partijen PROTECT consortium PROTECT consortium PROTECT consortium Openbaar
Eng
November
Openbaar
NL
Juni
NL
Juni
PROTECT consortium Openbaar
NL
Juni
Openbaar
NL
Oktober
Openbaar
ENG NL
November December
Openbaar Openbaar
Ketenbeveiliging als concurrentiemiddel voor de ‘BV Nederland’ Secure global supply chains: towards a theoretical framework SCM Netwerk - PROTECT bijeenkomst 02-06-05 vertrouwelijk verslag v2.doc SCM Netwerk - PROTECT bijeenkomst 2-6-05 - openbaar verslag v2.doc SCM Netwerk - PROTECT bijeenkomst 2-6-05 - openbare samenvatting.doc Supply chain security: wat verwacht Logistiek Nederland? Onderzoeksresultaten van de PROTECT enquete 2005 Master Thesis: Supply chain security Supply chain security PROTECT WP4 eindrapport 2005
Rubricering Openbaar PROTECT consortium Openbaar
PROTECT 2005
93 / 94
Bijlage 4: Publicaties werkpakket 4 Werkpakket 4 heeft de volgende publicaties opgeleverd in 2005: 1. J.F.F. Becker & P.F. Colon, PROTECT: Beveiliging in internationale goederenketens, Sheets en bijdrage, Syllabus voor het congres Havenbrede Beveiliging, 29 juni 2005, WTC Rotterdam, georganiseerd door Studiecentrum voor Bedrijf en Overheid. 2. F. van den Broek-Serlé, J.F.F. Becker, Logistieke beveiliging vergt bewustwording, NDL Kort, nr. Juli 2005, p. 6, Zoetermeer. 3. J.F.F. Becker, Managing security in the whole supply chain, ISO Focus, pp. 36-37, September 2005. 4. F.N. van den Broek-Serlé, J.F.F. Becker, Ketenbeveiliging als concurrentiemiddel voor de ‘BV Nederland’ ?, Bijdragen Vervoerslogistieke Werkdagen, Hoeven, 17-18 November 2005. 5. A.W. Veenstra, J.F.F. Becker, N.H. Vrijenhoek, Secure global supply chains: towards a theoretical framework, Bijdragen Vervoerslogistieke Werkdagen, Hoeven, 17-18 November 2005. 6. N. Vrijenhoek, Supply chain security, Master Thesis, RSM Erasmus University, November 2005. 7. A.W. Veenstra, J.F.F. Becker, J. Beukema, Beveiliging in de logistieke keten, een praktische aanpak, December 2005.
94 / 94
PROTECT 2005
Bijlage 5: Legenda supply chain architecture Build to stock (no inventory inbound, inventory outbound) Build to stock (inventory inbound and outbound) Build to order (inventory inbound, no inventory outbound) Flexible order production (inventory inbound, and inventory outbound) Europees distribution centrum
E
National distribution center
N
R
Regional distribution center
VAL E VAL
Distribution center with Value-Added Logistics European Distribution center with Value-Added Logistics Rolling stock
Transfer at terminal Cross-docking (Sorting Shipment Center - SShC) Repacking shipments at for example a Cross-docking (Shipment Sorting Center - ShSC) Transfer at port terminal Temporary storage in a Port
P
P
P
Transfer at port terminal including temporary storage (outbound) Transfer at port terminal including temporary storage (inbound)
Transfer at airport
CSI
ISPS
TAPA
C-TPAT
Portinfolink