Er was eens een tijd waarin de baas de Baas was. Omgaan met fouten was eenvoudig: de slechte Baas gaf de medewerker de schuld, de goede Baas nam zelf de schuld op zich. Hij had immers bepaald wat er gedaan moest worden en hoe. Als de fout te erg was, stond de goede Baas op straat. Hij was immers verantwoordelijk. Daarom moest hij ook wat meer salaris hebben dan de anderen. En toch waren er best veel goeie Bazen.

Toen werden de bazen gebusinessprocessredesigned en vervangen door Managers. Managers zijn verantwoordelijk voor het proces. Medewerkers voeren het proces uit. Het proces wordt bepaald in het beleid. De directie keurt het beleid goed. Auditoren bewaken de kwaliteit.

Deze opzet is ooit bedoeld om de 'kwaliteit te borgen'. In gebieden waar de risico's het grootst zijn, is dit recept als eerste ingevoerd. Dat was in het begin vooral financiën, met de Register Accountant in de rol van de ultieme specialist. Met enige vertraging volgde informatiebeveiliging onder het bezielend toezicht van de Register EDP Auditor. In deze gebieden worden de gevolgen van deze standaardisatie van middelmatigheid dan ook het eerste voelbaar, met de sub-prime crisis als huidig hoogtepunt.

De directie laat het maken van beleid over aan specialisten. Deze beleidsmedewerkers bepalen wat er moet gebeuren, hoe dat moet en wie er verantwoordelijk is voor de uitvoering. Managers zijn alleen impliciet aangewezen als verantwoordelijke voor de resultaten. Vallen de resultaten tegen, dan kan de Manager de verantwoordelijkheid dragen en de schuld op zich nemen. Ze bestaan nog, ik ben er begin 2005 eentje tegengekomen. Hij is inmiddels boventallig. Wat de Manager ook kan doen, en dat gebeurt vaker, is de schuld geven aan de medewerker. Deze moet zich gaan zitten schamen in een hoekje. Dat doet ie niet, hij haalt gewoon z'n schouders op en neemt nog een kopje sterrenmix. Wat ook soms gebeurt, is dat een medewerker gaat uitleggen dat het ingerichte proces de huidige situatie niet dekt en hoe het dan wél zit. De Manager die een dergelijk verweer ontvangt kan twee dingen doen. Hij kan het negeren en hopen dat een volgende crisis de aandacht afleidt. Of hij kan het verweer doorgeven aan de beleidsmakers.

De beleidsmedewerkers op hun beurt begrijpen dat het tijd is voor nieuw beleid - de situatie die zich voordeed was immers niet voorzien, onder de 80/20 regel kon natuurlijk niet overal rekening mee gehouden worden. De beleidsmedewerker kan ook de bal terugkaatsen naar de Manager, die formeel verantwoordelijk is. Het blijkt immers dat de Manager vergeten is de medewerker op z'n dwaalleer te wijzen en het is een boel werk hoor, nieuw beleid ontwikkelen en dat goedgekeurd te krijgen. Daar zit niemand op te wachten.

Krijgt de beleidsmedewerker het toch te verduren over zijn beleid, dan heeft hij in het uiterste geval altijd een onfeilbaar excuus achter de hand: een verwijzing naar de bron van het beleid. Het proces is immers ingericht conform de best beschikbare richtlijnen (Sox, SAS, ISO en noem de verzamelde adviezen van gerenommeerde firma's maar op). Het adagium luidt: 'Niemand is ooit ontslagen omdat hij Gartners adviezen knipte en plakte'. Wat de beleidsmedewerker nóóit zal doen is naar de eerder genoemde medewerker gaan, die staat immers te dicht op te materie om deze te kunnen begrijpen. Deze spiraal van verkleuteren, duiken en blame shifting gaat door totdat iedereen het beu is en overgaat tot het managen van de volgende crisis. Verrassend genoeg is die er altijd precies op tijd.

Toen ik studeerde, in de jaren '80, wilden universitaire studenten met hoge cijfers Baas worden. Die functie bood de voldoening en de creativiteit van het leidinggeven, veel zelfstandigheid, eigen verantwoordelijkheid, en een mooi salaris. Tegen de tijd dat we ver genoeg waren in onze carrière om Baas te worden, waren er alleen nog maar Managers. Ook goed, dachten wij. Gewoon een nieuwe naam voor Baas. We zaten ernaast.

De Manager van de 21e eeuw heeft alleen nog het mooie salaris van de Baas. Vaak nog mooier. Er zijn alleen veel meer Managers dan er ooit bazen waren en je hebt lang niet altijd medewerkers. De verantwoordelijkheid stelt in de praktijk geen bal voor. En de zelfstandigheid al helemaal niet. Je bent resultaatverantwoordelijk maar niet gemandateerd om te bepalen hoe je iets aanpakt. De processen zijn in beton gegoten en als Manager word je geacht zodanig te 'sturen' dat de processen worden gevolgd. Je bent proceseigenaar en resultaatverantwoordelijke, maar niet de procesverantwoordelijke. Erop toezien dat de processen de verwachte resultaten opleveren, is dan weer de taak van de business controller.

Wat je vooral niet moet doen als Manager, heb ik inmiddels geleerd, is vaststellen dat een proces niet goed is ontworpen en daarom niet de beoogde resultaten oplevert. Dan houd je je bezig met de inhoud van het werk, waarmee je jezelf te kijk zet als een blauwe boord. Dat heeft hele nare gevolgen in je beoordelingen en in de dagelijkse omgang met je collega's. Als je een compleet onbruikbaar proces terzijde schuift word je bovendien bij de eerste daadwerkelijke afwijking afgefikt door een auditor die het proces kwaliteitsbewaking uitvoert. Hoewel er veel meer Managers zijn dan er ooit Bazen waren, staan juist de Managers veel verder van de materie. Kortom, je hebt als Manager minder bewegingsvrijheid dan een lopendebandmedewerker in een koekjesfabriek. Je enige troost is hooguit dat iedereen dit lot met je deelt.

Je organisatie heeft de collectieve onverantwoordelijkheid ingericht langs de lijnen van 'zelfsturende teams', die continu bezig zijn met het verkleinen van de scope en het vergroten van het budget, en je dagtaak is het bijwonen van alle bijbehorende overleggremia. Mis je één vergadering, dan heb jij de taak van een ander, en weer een ander je budget.

Een standaardgrapje tijdens mijn studie luidde dat als je een zesjesstudent was, niet tegen bier kon en zelfs geen sjans had in de darkroom, je nog altijd beleidsmedewerker kon worden bij een ministerie of een multinational. Werd je zelfs dáárvoor afgewezen, dan zat er niets anders op dan IT-er te worden. IT-ers, dat waren de mensen die computers neerzetten met programma's erop die je kon gebruiken. De IT-projectManager zorgde dat dat zo ongeveer op tijd gebeurde - desnoods op z'n tandvlees. En IT-Security mensen maakten de boel dan veilig. Of zo.

Die tijd is gelukkig voorbij. IT heet nu ICT. De hoogste ICT-er anno 2007 is de Business Consultant. Business Consulting heeft niets te maken met organisatiekunde of met wat een bedrijf doet. Ja, ook dat was ooit wel zo. Nu is de Business Consultant een inhuur beleidsmedewerker die alleen iets mag zeggen over ICT processen. Hij noemt dit Beleid en roept om het hardst dat de techniek het probleem niet zal zijn. Vorige week zag ik het summum: een vacature voor een Business Security Consultant. Dit klinkt als heel wat, maar stelt nog minder voor dan een Business Consultant. Wat hij mag doen, vrees ik, is het kopiëren van beveiligingsprocessen uit een generieke methode en die dan in een mooi PowerPoint plaatje zetten. Zolang beleid maar bovenin staat, is het allemaal goed. In de regel is hij al weer naar een volgende klant, als blijkt dat ook deze keizer geen kleren aan heeft.

Niemand is de baas. Onze polder is vervangen door een moeras. Deze geïnstitutionaliseerde collectieve onverantwoordelijkheid mist zijn uitwerking niet. De grote organisatie waar we zo graag Baas wilden worden, is geïnfantiliseerd, opgeknipt, ge-insourced, ge-outsourced, ge-resourced en uiteindelijk in stukjes gehakt en verkocht als sloopafval aan buitenlandse opkopers. Waarom zouden we de informatie eigenlijk nog beveiligen, als niemand de organisatie zélf beschermt?

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter