Governance vanuit mens en organisatie perspectief
Governance is en blijft een belangrijk aspect als je kijkt naar de uitrol van nieuwe technologie en de implementatie van een andere werkwijze. Het gaat hierbij over eigenaarschap, structuur, (werk)processen, rollen, support, beleid, communicatie en het aanbieden van standaarden. Een breed onderwerp.
Het is geen nieuws dat het belangrijk is om snel of direct te starten met governance tijdens een implementatie, wacht hiermee vooral niet tot het einde van het project. Dit is zeker waar! Maar wat mij opvalt is dat veel organisaties en experts vooral een focus hebben op de mogelijkheden die de techniek biedt. Kortom, op welke mogelijke manieren kan ik restricties aan mijn collega’s opleggen vanuit een ICT-invalshoek? En dat is nou precies waar governance niet over zou moeten gaan.
Soms werkt een schijnbaar ‘veilige beslissing’ juist averechts als niet ieder aspect goed belicht wordt. Een technologische ingreep kan ongewenst gedrag opleveren, niet omdat het nut van de maatregel niet duidelijk is, maar omdat het probleem van de mens niet wordt opgelost. Het voorbeeld hieronder illustreert dit:
‘ICT heeft het kunnen samenwerken met externen op onze Teams-omgeving uitgezet, dat maakt het een stuk veiliger. Een beslissing genomen door onze governance board binnen de ICT-afdeling. Ik snap dat wel, maar in de praktijk werk ik wel veel samen met externe partners. Wij delen nu onze documenten via WeTransfer of Dropbox. Iedereen kiest zijn eigen route, die hij of zij prettig vindt. Het wordt immers niet gefaciliteerd en er is geen duidelijke richtlijn gecommuniceerd.’
Het vinden van de juiste balans
Even terug naar de basis. Wat was het doel ook alweer? Waarom zou je aan de slag gaan met governance bij het implementeren van een nieuwe technologie of werkwijze?
In mijn ogen is het doel van governance het creëren van een goede balans. Een balans tussen enerzijds technologische restricties en maatregelen om een veilige en beheersbare omgeving te bewerkstelligen en anderzijds een fijne gebruikersbeleving bieden en goed gestroomlijnde organisatieprocessen faciliteren. Zodat optimaal gewerkt kan worden en technologie onze productiviteit op een veilige manier kan verhogen.
Deze balans vertaalt zich uiteindelijk in begrijpbare, dus als het goed is ook logische, regels en richtlijnen op een aantal gebieden:
Veilig werken – denk dan aan securitymaatregelen, het wel of niet aanzetten van multifactor authenticatie, wachtwoord richtlijnen, extern informatie kunnen delen en kunnen samenwerken met externen, het offline synchroniseren van veelgebruikte documenten, het wel of niet toestaan van het gebruiken van privé-apparaten en onder welke voorwaarden.
Structuur – bijvoorbeeld door labels te gebruiken, richtlijnen voor archivering, compliancy regels en het toepassen van prefixes bij het aanmaken van sites.
Processen – zoals het starten van projecten of juist de afronding, het aanmaken van omgevingen of sites om in samen te werken, in- of uitdiensttredings processen vormgeven, maar ook rollen en verantwoordelijkheden beleggen voor het nemen van besluiten.
Eenduidigheid – door templates en sjablonen te gebruiken, voor zowel documenten als samenwerkomgevingen of sites, richtlijnen voor de gewenste werkwijze, denk daarbij aan wanneer je welke tool inzet, ofwel: met welk doel gebruiken wij deze tool?
Al deze regels en richtlijnen moeten zorgen voor heldere processen en een fijne gebruikersbeleving binnen een veilige en beheersbare ICT-omgeving.
Het is erg veel, dus begin bij het maken van een plan. Maak hierin afspraken over hoe je beslissingen neemt, op basis van welke criteria en met wie uit de organisatie. Beantwoord ook vragen als: Met welke aspecten houden wij rekening? Wat is onze visie op digitalisering? Wat vinden wij belangrijk aan onze omgeving zodat deze perfect aansluit bij onze werkzaamheden? Hierover later meer.
De 4 belangrijkste invalshoeken
In de introductie heb ik al kort benoemd dat je met governance aan de slag kunt gaan vanuit verschillende invalshoeken. Naar mijn inzicht zijn onderstaande vier invalshoeken de belangrijkste om bij stil te staan. In dit voorbeeld gebruik ik Microsoft 365 als technologie.
inrichting infrastructuur
Laat ik beginnen met de invalshoek die vaak de grootste focus krijgt, maar daarmee niet altijd het meest belangrijk is of de overhand zou moeten hebben bij beslissingen. De inrichting van de infrastructuur gaat over het configureren van bijvoorbeeld Office 365, Azure AD, Intune, security policy, multifactor authenticatie, device management, maar denk ook aan restricties op basis van geografie en tijd om een omgeving veilig te houden. Dit is de meest technische van de verschillende invalshoeken. Er wordt vanuit een harde ICT-kant gekeken naar security en beheer.
inrichting applicaties
Als je vanaf de infrastructuur een stap dichter naar de voorkant toe gaat, kom je bij de inrichting van de applicaties uit. Hierbij gaat het om het configureren van de applicaties: wat mag wel en niet, hoe ziet het eruit. Bij Office 365 gaat het dan onder andere over de inrichting van Teams, SharePoint, Yammer en OneDrive (en de synchronisatie client van OneDrive). Het wel of niet zelfstandig mogen maken van nieuwe sites of teams, het wel of niet mogen delen van bestanden vanaf de OneDrive met externen. Restricties in de opslagcapaciteit, synchronisatie wel of niet toestaan, et cetera.
gebruikersbeleving (user experience)
De invalshoek die in mijn optiek onterecht, vaak onderbelicht is als het gaat om governance, maar die heel belangrijk is. Wat is het belang van de gebruiker bij een goed beleid? Wat is de behoefte, bijvoorbeeld in een structuur, het vinden en opslaan van informatie, de manier van werken, samenwerken met externen? Wat heeft een gebruiker nodig om prettig (en veilig) te kunnen werken? Hoe autonoom en vrij in het maken van keuzes wil iemand kunnen zijn? Hoeveel kunnen wij zelf en hoeveel willen wij dat voor ons gedaan wordt bijvoorbeeld door ICT, key-users of leidinggevenden? Ook communicatie is een belangrijk aspect van de gebruikersbeleving, en dan heb ik het niet over het simpelweg delen van een complex beleidsstuk waar alles wel in terug te vinden is. In het kort: wat is de optimale gebruikersbeleving?
organisatieprocessen
De laatste invalshoek om naar governance te kijken is vanuit de organisatieprocessen. Sommige organisatieprocessen zijn erg specifiek, maar veel processen komen in bijna elke organisatie voor. Denk hierbij aan in- en uitdienstprocessen, het opstarten van nieuwe projecten, werkgroepen en samenwerkingen of juist het afronden hiervan. Je kunt ook denken aan het wel of niet verplichten van een opleiding (in welke vorm dan ook). Hoe zorgen we ervoor dat de inrichting van onze ICT aansluit op onze organisatieprocessen?
Een klassieke IT-governance aanpak
Vaak is governance belegd bij een ICT-afdeling. Het resultaat is dat de focus dan ligt bij de eerste 2 invalshoeken: de inrichting van de infrastructuur en de inrichting van applicaties. Het (governance)beleid bestaat dan uit een gestructureerd overzicht van restricties om een digitale omgeving ‘veilig’ te maken. Bij deze klassieke IT-governance aanpak resulteert de inrichting van de infrastructuur en de applicaties vrijwel ’toevallig’ in een bepaalde gebruikersbeleving en tot een invulling van bepaalde organisatieprocessen. De gebruikersbeleving en processen zijn een ‘resultaat van’, in plaats van een invalshoek van waaruit gekeken wordt.
Een holistische governance aanpak.
Bij een holistische governance aanpak wordt de tijd genomen om ieder aspect te belichten. Governance is dan ook niet alleen belegd bij ICT, maar er zijn collega’s betrokken vanuit verschillende expertise gebieden. Er is minimaal een verantwoordelijke voor iedere invalshoek aanwezig. De verschillende invalshoeken worden gezamenlijk doorlopen en besproken. Hierbij kan je zelfs beginnen bij de gebruikersbeleving: Welke beleving willen wij onze collega’s bieden? Vanuit daar werk je door naar wat er nodig is om dat voor elkaar te krijgen, op een veilige manier. Een klein voorbeeld zou kunnen zijn:
‘Wij werken in een projectenorganisatie waarbij wij veel samenwerken met externe partners en leveranciers. Projecten starten bij ons vaak ad hoc en er is dan direct een behoefte om eenvoudig documenten te kunnen delen. Hierbij willen we niet moeten wachten totdat een collega een handmatige actie voltooit, bijvoorbeeld het aanmaken van een omgeving (Gebruikersbeleving). Na het ontvangen van een handtekening start een projectmanager het project op en haakt de juiste collega’s hierbij aan (Organisatieproces). In de applicatie wil je dus projectmanagers in staat stellen om via een knop snel, zelfstandig een samenwerkomgeving te maken. Hierbij wordt wel gevraagd om een aantal gegevens in te vullen om de omgeving terugvindbaar en beheersbaar te houden (Inrichting applicatie). Uiteraard moet de samenwerking met externen ook veilig zijn, dus ook voor hen vereisen wij multifactor authenticatie (Inrichting infrastructuur).’
De inrichting van de omgeving is nu een logisch gevolg van de organisatieprocessen en gewenste gebruikersbeleving. Dit maakt bijvoorbeeld ook het invullen van gegevens om een omgeving aan te maken, ineens acceptabel en eigenlijk wel logisch.
Vooral doen!
- Richt een governance board in en kom periodiek bij elkaar. Bespreek hierin de roadmap van de organisatie én van de leveranciers van de technologie, zoals bijvoorbeeld de Office 365 roadmap. Behandel in de governance board onderwerpen zoals: Het (huidige) gebruik van de omgeving, de feedback die terugkomt uit de organisatie, nieuwe functionaliteit en de eventuele toegevoegde waarde hiervan, informatie- en applicatiebeveiliging en de lifecycle van informatie, de huidige standaarden die gehanteerd worden, de communicatie en adoptie van deze standaarden en natuurlijk van de functionaliteiten.
- Zorg ervoor dat alle invalshoeken van governance goed vertegenwoordigd zijn in de board. Er moet minimaal iemand aanhaken die verantwoordelijk is voor de technische infrastructuur, iemand die verantwoordelijk is voor de applicatie-inrichting, een UX-verantwoordelijke en iemand die de organisatieprocessen als geen ander kent. Hiernaast is het ook handig om communicatie en opleidingen uit te nodigen.
- Stel gezamenlijk ontwerpprincipes op. Maak gebruik van de visie op ICT vanuit de organisatie (als deze aanwezig is). Ontwerpprincipes zoals een ‘openlijk werken’ beleid – dat samenwerken en kennis delen binnen de hele organisatie stimuleert- helpen je bepaalde beslissingen te nemen en deze goed te onderbouwen.
- Creëer een proces. En voor wie mij kent, ik ben geen groot fan van complexe goedkeuringsprocessen. Maar in deze situatie merk ik dat er vaak veel tijd verloren gaat; niet in het nemen van een beslissing, maar in het bepalen van de manier waarop een beslissingen genomen mag worden. Dus spreek met elkaar een proces af, en houd het natuurlijk simpel!
- Stel besliscriteria op om je te helpen bij het maken van keuzes. Denk dan bijvoorbeeld aan vragen als: Begrijpen we de nieuwe functionaliteit die aangekondigd is überhaupt goed genoeg? Kunnen we de nieuwe functionaliteit goed beheren, en zo ja, wie doet dat dan? Heeft de nieuwe functionaliteit een toegevoegde waarde, en zo ja, voor wie precies? Kan de nieuwe functionaliteit iets ouds vervangen? Wat zijn de eventuele kosten, zowel direct als indirect? Zijn er risico’s die deze nieuwe mogelijkheid met zich meebrengt?
- Let op: Een deel van governance blijft gaan over het opleggen van bepaalde restricties. Zorg er hierbij in ieder geval voor dat je gebruik van bepaalde (shadow IT) applicaties of tools nooit gaat verbieden zolang er geen goed alternatief beschikbaar is dat wel binnen het beleid past. De behoefte is er blijkbaar en moet dus ook erkent worden.
Webinar Governance op sos thuiswerken
Vanuit work21 geef ik binnenkort een webinar over Governance. Hebben jullie in de organisatie met spoed bijvoorbeeld Microsoft Teams aangezet om het thuiswerken de komende tijd te faciliteren? Dan moet je aan een aantal dingen denken om de omgeving beheersbaar te maken. Geef je op voor de webinar op sosthuiswerken.nl