Viktigt att inkludera mandat och access i arbetet med bakgrundskontroller
Det är lätt att tänka att bakgrundskontroller främst behövs vid rekrytering av chefsbefattningar och mer seniora/kvalificerade befattningar – vilket också kan resultera i att man navigerar fel och tar beslut som kan få konsekvenser för verksamheten på både kort och lång sikt.
På SRI pratar vi ofta med våra kunder – och bolag som är i en utforskande fas och som funderar på att implementera bakgrundskontroller i sina rekryteringsprocesser – om begreppen mandat och access.
I den här artikeln fördjupar vi oss inom dessa två begrepp med förhoppning om att väcka tankar och bidra med kunskap som du kan ta med dig till din organisations interna diskussioner kring bakgrundskontroller och när det är dags att genomföra en så kallad befattningsanalys.
Mandat och access
Att lyfta frågan om olika befattningars mandat och access handlar om att kartlägga och fundera på vilka befattningar i organisationen som har mandat och/eller access att göra vissa insatser eller ta vissa beslut.
Mandat kan handla om att utfärda företagskreditkort, utfärda passerkort, anställa personal, budget- och personalansvar, signera avtal med leverantörer, med mera.
Access kan istället handla om att ha tillgång till exempelvis vissa typer av (känsliga) utrymmen, bankkonton, access till delade mappar i molntjänster, behörighetsnivåer för redigering av filer i dessa molntjänster, med mera.
Olika nivåer av mandat och access kan innefatta olika grad av risktagande – och i den här djungeln kan det vara lätt att gå vilse, varför många arbetsgivare också ber om experthjälp med kartläggningen. Här brukar man prata om vilken ”riskaptit” man har som verksamhet och vilken risk man är beredd att acceptera. Det handlar således om att skapa förutsättningar för att fatta beslut medveten om risk, snarare än omedveten om risk.
På SRI genomför vi regelbundet workshops där vi hjälper HR-funktioner eller ledningsgrupper att göra en befattningsanalys där vi tillsammans mappar ut och identifierar vilka befattningar i organisationen som har vilka mandat och accessnivåer, vad dessa kan innebära i form av risk, och vilken nivå av bakgrundskontroller som är lämplig för respektive befattningskategori.
Även ”enkla” befattningar kan innefatta mandat och access
Det är nämligen lätt att man blir ”hemmablind” och inte tänker på risk kopplat till olika typer av mandat och access, särskilt inte på befattningar som generellt inte ses som ”högkvalificerade”.
Exempel på detta skulle kunna vara receptionisten, som kanske även är tillfälligt inhyrd från ett bemanningsföretag. Receptionisten kanske har mer mandat och access än vad man kan tro vid första anblicken.
Kanske har receptionisten tillgång till alla lokaler i byggnaden, inklusive bakom skalskyddet? Det kanske även är så att receptionisten är den som utfärdar nya passerkort och kan ge andra individer access till inpassering eller tillgång till exempelvis en elcentral eller ett utrymme där IT-utrustning förvaras.
Receptionisten har troligtvis även tillgång till ett personalregister där det utöver kontaktuppgifter till alla medarbetare även framgår vilka som arbetar i verksamheten, vilka befattningar de innehar, på vilket kontor de arbetar osv.
Exempel på mandat i befattningar:
- Teckna avtal med externa aktörer/kunder
- Besluta om inköp av tjänster, utrustning, material
- Attestera fakturor
- Anställa personal
- Budgetansvar
- Personalansvar
- Besluta om in- och utpassering i lokaler för intern personal och besökare
- Utfärdande av nyckelkort/passerkoder
Exempel på access i befattningar:
- Tillgång till bankkonton/ekonomisk information
- Tillgång till interna system
- Tillgång till delade eller andra personers inkorgar
- Tillgång till posthantering
- Tillgång till information om kunder/access till kunders system
- Tillgång till fysiska utrymmen/serverrum
- Tillgång till varulager
Viktigt att tänka på när det gäller mandat och access
För att förstå hur olika mandat och accesser applicerar och hur dessa inverkar i en specifik befattning bör man, utöver det som redan nämnts ovan, fundera på några ytterligare faktorer som är viktiga i sammanhanget:
- Vad finns det för skyddsvärden inom organisationen?
Det kan exempelvis handla om företagets varumärke och dess rykte trovärdighet på marknaden, personal, patent, system, kundinformation, kundrelationer eller finansiella flöden.
- Omfattas organisationen av några regulatoriska krav?
Det kan exempelvis handla om säkerhetsskyddslagen och tecknade säkerhetsskyddsavtal, penningtvättslagstiftning för att motverka både just penningtvätt och terrorfinansiering, eller andra regulatoriska krav såsom Lagen om Försäkringsdistribution (LFD) eller Fastighetsmäklarlagen.
- Omfattas verksamheten av några certifieringar?
Detta kan exempelvis handla om ISO-certifieringar, certifikat kopplat till luftfartsskydd såsom Känd avsändare/Känd leverantör eller andra certifieringar där det är viktigt att säkerställa regelefterlevnad.
Om du behöver hjälp med att bena ut dessa frågor kan du alltid ta kontakt med en expert hos SRI.