IT Governance, mag het wat decentraler?
Afdelingsgerichte applicaties zijn vervangen door grote, afdeling-overstijgende applicaties. Registraties worden hergebruikt. Onderliggende infrastructuur is gestandaardiseerd of naar de cloud gebracht. Besturing van deze IT is in detail uitgewerkt en veelal gecentraliseerd. Zo kan de huidige stabiliteit gewaarborgd worden en kunnen wijzigingen beheerst doorgevoerd worden (en worden de vinken op compliance gehaald!). Maar worden de primaire processen nog wel voldoende ondersteund? Weten we ‘centraal’ nog wel voor wie en waarom we dingen doen? Of laten?
IT-organisaties zijn beheersingsgericht. Op zich niets mis mee. IT moet het immers wel altijd doen. En elke gebeurtenis leidt tot de roep om meer beheersingsmaatregelen. Maar in een toenemende complexiteit leidt die beheersingsfocus tot steeds meer eisen, quality gates en controles in de dagelijkse operatie die overwonnen moeten worden om iets te mogen realiseren. Ook op tactisch en strategisch vlak worden we ‘volwassener’ met gecentraliseerde portfolio processen, IT boards en voorschrijvende architectuur. Innovaties worden gespot en gewogen en risico’s kennen centrale beheersing en besluitvorming. Zo gefocust op ‘in control zijn’ wordt de dagelijkse (verander)behoefte van de gebruikersafdelingen al snel uit het oog verloren. De route van wens naar realisatie kent zoveel waarborgen en controlestappen dat we onderweg de indiener (en soms zelfs zijn/haar wens) zijn kwijtgeraakt.
Een passende IT Governance voor de organisatie?
In deze situatie is het niet zo gek dat agile zo’n vlucht neemt. Kleine, autonome teams met directe gebruikersafstemming. Continue levering en bijsturing dichtbij de gebruiker. Maar agile werken is niet zomaar gemeengoed en vraagt wel wat van mensen, processen en techniek. Is agile (nog) een stap te ver dan wordt het lastig. Tussen de centrale besturing en agile teams zit vaak een gat. Decentraal mag verzoeken indienen. En afwachten…
Een parallel: In organisaties kom ik de meest gedetailleerde mandatenlijsten tegen. Wie mag er tot welke bedragen uitgeven? Tot in het detail uitgewerkt. Delegation of control. Maar als het gaat om IT dan is het wel even zoeken. Maar we hebben toch RACI tabellen? Ja, die beschrijven wie waarvoor verantwoordelijk is in de IT beheer processen. Activiteit gericht. Terwijl het besturen van IT, het maken van keuzes, niet activiteit maar inhoudsgericht is.
Kunnen we de ‘mandatenlijst’ niet invoeren voor IT? Dat we niet beschrijven wie er verantwoordelijk is voor een activiteit maar wie waarover mag beslissen. Kunnen we daarbij weer focussen op wat wel decentraal, zonder tussenkomst van centrale processen en functionarissen gekozen, gedaan en bestuurd kan en mag worden? Dit vraagt een change of mind: Van behoeden naar informeren en voorleggen van keuzes. Van gatekeeper naar facilitator. Van toetsen naar pro-actieve richtlijnen. Van beperken naar creëren van decentrale beslissingsruimte. Van centraal uitvoeren naar ondersteunen van de decentrale uitvoering. Hoe kunnen we IT en IT processen zo optimaliseren dat de gebruikende afdelingen zo veel mogelijk autonomie krijgen zonder dat dit onnodige risico’s en complexiteit toevoegt aan de IT van morgen?
Neem jij de eerste stap?
Het gesprek hierover met de decentrale belanghebbers (die groep waarvoor IT eigenlijk bedoeld is) is een goede eerste stap. En misschien is het niet zo gek om gewoon op te schrijven wie waarover mag beslissen. Samen met die gebruikersvertegenwoordiging, niet weer centraal bedacht. En stel tot doel volgend jaar 20% van de kruisjes verplaatst te hebben van centraal naar decentraal!
Meer weten?
Heb je het idee dat in jouw organisatie begint te schuren tussen de verschillende wensen in de governance? Of heb je behoefte aan meer informatie over centraal tegenover decentrale IT governance? Neem dan contact op met mij, Pim Schouten.