BLOG – Vaak kom je er pas na verschillende pogingen achter dat de verandering echt niet is door te zetten. Wat dan? Dit is het tweede deel van het artikel over verandermanagement. In deze slotaflevering aandacht voor de alternatieve strategieën als een standaardaanpak niet werkt.
Er zijn technieken om de verandering tóch door te zetten. Deze technieken begrijpen wij beter als we inzien hoe standaardveranderingsmanagement werkt en hoe we op het terrein komen waar dit niet meer werkt. Bij veranderingsmanagement wordt de organisatie meegenomen in de verandering. Dit houdt in dat er een coalitie moet zijn die wijziging ondersteunt en support levert. Het is dus een relatief democratisch proces. Dit gaat net zo hard als de organisatie aan kan en niet harder. Soms duurt dit zo lang dat geleidelijk de aandacht verslapt en de urgentie verdwijnt. Daarmee kom je dan in een gebied waar geen verandering meer mogelijk is en standaard veranderingsmanagement faalt.
Een grc-tool is ‘het licht aandoen’, waarna is te zoeken naar een oplossing
De hier beschreven technieken hebben een ding gemeen: ze voeren de wijziging geforceerd door met een leercurve die iets steiler is dan de organisatie aan kan. Dit is bewust niet prettig voor de organisatie. Dit kan op verschillende manieren:
- Verscherpt toezicht door internal audit
Als er onvoldoende bewustzijn is, kan internal audit met een control framework helpen de organisatie helpen zelf opgelegde regels ook daadwerkelijk te volgen. Op deze manier worden slecht functionerende afdelingen gevonden en constructief aangemoedigd beter te presteren. Essentiele voorwaarde is echter dat Internal Audit betrouwbare gegevens ontvangt en niet misleid wordt door managementlagen met een positieve kleuring. Duidelijk is dat dit deze druk niet naar ieders tevredenheid zal zijn. Dit kan echter nodig zijn om een bepaalde groei door te maken.
- Pentesting
Met pentesting probeert een ingehuurde ethische hacker toegang tot het systeem te krijgen.
Dit werkt bij afdelingen die zelf niet het inzicht hebben en handig geworden zijn in het goed weer spelen. Een pentest is een ongemakkelijke prikkel die een afdeling leert om met securityincidenten om te gaan. Dit proces werkt alleen als het management de juiste voorwaarden schept waarin de incidenten ook zijn op te lossen. Als securityincidenten bijvoorbeeld op het operationeel budget drukken, dan zullen deze weggemoffeld worden. Het management dient te beseffen dat security ten laste van de operatie gaat en dat dit een normale zaak is.
- Red and blue teaming
Met red and blue teaming zorgt het ‘rode team’ voor echte incidenten. Dit echter in opdracht van de ceo en binnen bepaalde kaders. Deze mensen worden om duidelijke redenen geen vrienden van de business. Het ‘blauwe team’ probeert de incidenten ook daadwerkelijk op te lossen.
Ook dit is een onplezierige pijnprikkel voor de organisatie. Het is wel een sterke leerschool. Het perst de organisatie over een sterke leercurve die normaal niet gevolgd zou worden. Een van de grotere organisaties van Nederland heeft dit succesvol toegepast om de logge organisatie in beweging te brengen.
- Early sense: grc tooling
Een wakker management heeft onafhankelijke gegevens nodig om te kunnen achterhalen of er echt problemen zijn. Als er geen onafhankelijke bron van de status is, dan vervalt de organisatie terug in het opstellen van lijstjes waaraan naar eigen goeddunken groene vinkjes worden toegevoegd. Het hebben van betrouwbare, ongekleurde, onafhankelijke informatie maakt het verschil.
Implementeer een governance risk and compliance (grc)-tool en stel een riskmanagementproces op. Een grc-tool scant het systeem en brengt risico’s aan het licht. Dit is ook wat internal audit nodig heeft om hun werk te kunnen doen. Deze methode werkt minder radicaal dan de twee bovenstaande. Wat met deze methode gedaan wordt is dat fouten in het verstrekken van rechten zichtbaar worden gemaakt. Fouten ontstaan nu eenmaal en kondigen zich ook niet aan. Een grc-tool is ‘het licht aandoen’, waarna is te zoeken naar een oplossing. Ook hier wordt de organisatie enigszins geduwd over een bepaalde leercurve.
- Awareness games
De bovenstaande punten duwen de organisatie omhoog op een leercurve. Je leert immers door fouten te maken. Waarom dan niet veel fouten maken? Bij awareness games voert een medewerker een spel uit waarin bepaalde onderdelen extra getraind worden. Mensen zover krijgen dat ze hieraan meedoen, zal niet altijd even makkelijk gaan.
- Ander bloed
Organisaties zitten soms in een flow waar ze niet makkelijk meer uit komen. Met het huidige personeel is de gewenste scherpe bocht die gemaakt moet worden niet altijd realiseerbaar. Het toevoegen van nieuw maar vooral bewust ander bloed is dan een oplossing. Selecteer mensen niet alleen op hun kennis maar vooral op hun houding. Dit betekent dat de groepsdynamiek anders wordt. Voorwaarde is dat het management de nieuwe medewerker kiest en goed op zijn nieuwe taak wordt voorbereid.
Zelfgenoegzaamheid
Standaardveranderingsmanagement gaat er nog steeds van uit dat de organisatie volledig in de verandering moet worden meegenomen. Zelfgenoegzaamheid binnen de organisatie wordt gezien als een storende factor waardoor een geplande wijziging kan mislukken. De bovengenoemde zes methoden pakken dat zelfgenoegzaamheid aan door druk uit te oefenen. Deze druk zal uiteraard niet door iedereen als prettig worden ervaren. De medewerkers die wat verder kijken zien echter wel dat de verandering de organisatie ten goede komt en dat ook het werken in de nieuwe situatie prettiger is.
Waar de genoemde methoden echter ook niet zonder kunnen is leiderschap. Leiderschap speelt een cruciale rol bij verandering. Sommige managers hebben dit natuurlijke talent, anderen niet. Het verschil wordt bepaald door of het hoger management deze kwaliteiten kan herkennen of niet. Je kunt iemand met de juiste houding nog inhuren, maar het spotten van blinde vlekken in de organisatie is de echte kunst.
Mark Deiss is SAP-securityconsultant
