Hadden we het gisteren nog over de inrichting van de beveiligingsorganisatie, vandaag gaan we iets meer in op de taken, bevoegdheden en verantwoordelijkheden. Daarom stellen we onszelf de vraag:
Zijn de taken, bevoegdheden en verantwoordelijkheden vastgelegd?
Om maar direct de lucht te klaren. We hebben het hier echt niet alleen over de taken, bevoegdheden en verantwoordelijkheden van de Security Manager. Nee, we hebben het hier over de taken, bevoegdheden en verantwoordelijkheden van iedereen binnen de organisatie. Daarbij kunnen we bijvoorbeeld onderscheid maken in de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur, de directie, het management, de Security Manager, de lijnmanagers, de medewerkers maar ook diegene die een bijzondere rol vervullen binnen de beveiliging zoals de IT’ers, de Facility medewerkers en de P&O’ers.
Een algemene omschrijving die we op kunnen nemen in de vastlegging van de beveiligingsorganisatie (en het beleid) is dat beveiliging een lijnverantwoordelijkheid is waarbij iedereen naar rato zijn of haar verantwoordelijkheid moet nemen. Een eerste algemene omschrijving die duidelijk maakt hoe we tegen beveiliging aan kijken. Uiteraard laten we die beveiligingsorganisatie en het beleid formeel bekrachtigen door het hoogste management. Dat geeft ons een steuntje in de rug.
Voor de medewerker in de organisatie die zijn of haar werk doet en dus niet een specifieke beveiligingstaak heeft, kunnen we de algemene verantwoordelijkheid opnemen in de functieomschrijving. Daarbij ondersteunen we ze met allerlei gedragsrichtlijnen (geen dikke pakken papier alstublieft). Zo weten ze wat er van hen verwacht wordt en als ze het niet weten kunnen ze het opzoeken. Incidenten monitoren we en op basis daarvan sturen we bij. Overigens heeft de manager hier natuurlijk ook een belangrijke rol in, hij moet immers de onder zijn of haar verantwoordelijkheid vallende medewerkers sturen (beoordeling en functioneringsgesprekken bijvoorbeeld).
Voor de manager geldt dat zij meer verantwoordelijkheid hebben voor de beveiliging. Zij zijn er verantwoordelijk voor dat de medewerkers binnen de afdeling zich aan de algemeen geldende beveiligingseisen houden. Wij gaan niet politie agentje spelen maar spreken de manager aan op incidenten en die spreekt vervolgens zijn medewerkers daarop aan.
Specifieke functies kunnen een uitgebreidere omschrijving krijgen van de taken, bevoegdheden en verantwoordelijkheden. Denk hierbij aan de IT’ers, de Facility medewerkers en de P&O’ers. Zij spelen een belangrijke rol in de uitvoering van de beveiliging. Dan is het dus goed om ze duidelijk te informeren over hetgeen we van ze verwachten. Hoe we dat exact omschrijven hangt af van de keuzes die we maken bij de inrichting van de beveiligingsorganisatie. Een algemene beschrijving is hier dan ook nauwelijks te geven.
De medewerkers en de medewerkers met specifieke taken weten nu wat van hen verwacht mag worden. De medewerkers die onderdeel uitmaken van de beveiligingsafdeling krijgen in hun taakomschrijving natuurlijk veel uitgebreider omschreven wat ze wel en niet mogen. Dat is dan weer een onderdeel van de beschrijving van de beveiligingsorganisatie.
Voordat we dit blog afsluiten gaan we nog wel even in op de beschrijving van de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur en de directie. We horen nog wel eens dat we daar onmogelijk kunnen neerleggen welke rol zij spelen. Toch is dat niet waar. In de beschrijving van de beveiligingsorganisatie kunnen we wel degelijk aangeven dat de Raad van Bestuur toe ziet op de totale beveiliging, dat de algemeen directeur eindverantwoordelijk is (en daar eventueel een mededirecteur voor heeft aangewezen). Uitvoering kunnen we wel delegeren, maar verantwoordelijkheden niet. De directie blijft verantwoordelijk en zal daarover verantwoording af moeten leggen aan de Raad van Bestuur. Wij kunnen ze alleen maar helpen bij een goede uitvoering daarvan, wij geven ze de zekerheid.
Is de beschrijving van de beveiligingsorganisatie door de directie goedgekeurd? Dan kan daar geen onduidelijkheid meer over zijn. In die omschrijving hebben we immers ook de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur en van de directie opgenomen. Wederom: beveiliging is niet exotisch maar een regulier aspect van de bedrijfsvoering. Regelen we het op die manier in, dan wordt ons leven als Security Manager een stuk duidelijker.