BLOG – Vaak kom je er pas na verschillende pogingen achter dat de verandering echt niet is door te zetten. Wat dan? Dit is het tweede deel van het artikel over verandermanagement. In deze slotaflevering aandacht voor de alternatieve strategieën als een standaardaanpak niet werkt.
Er zijn technieken om de verandering tóch door te zetten. Deze technieken begrijpen wij beter als we inzien hoe standaardveranderingsmanagement werkt en hoe we op het terrein komen waar dit niet meer werkt. Bij veranderingsmanagement wordt de organisatie meegenomen in de verandering. Dit houdt in dat er een coalitie moet zijn die wijziging ondersteunt en support levert. Het is dus een relatief democratisch proces. Dit gaat net zo hard als de organisatie aan kan en niet harder. Soms duurt dit zo lang dat geleidelijk de aandacht verslapt en de urgentie verdwijnt. Daarmee kom je dan in een gebied waar geen verandering meer mogelijk is en standaard veranderingsmanagement faalt.
Een grc-tool is ‘het licht aandoen’, waarna is te zoeken naar een oplossing
De hier beschreven technieken hebben een ding gemeen: ze voeren de wijziging geforceerd door met een leercurve die iets steiler is dan de organisatie aan kan. Dit is bewust niet prettig voor de organisatie. Dit kan op verschillende manieren:
- Verscherpt toezicht door internal audit
Als er onvoldoende bewustzijn is, kan internal audit met een control framework helpen de organisatie helpen zelf opgelegde regels ook daadwerkelijk te volgen. Op deze manier worden slecht functionerende afdelingen gevonden en constructief aangemoedigd beter te presteren. Essentiele voorwaarde is echter dat Internal Audit betrouwbare gegevens ontvangt en niet misleid wordt door managementlagen met een positieve kleuring. Duidelijk is dat dit deze druk niet naar ieders tevredenheid zal zijn. Dit kan echter nodig zijn om een bepaalde groei door te maken.
- Pentesting
Met pentesting probeert een ingehuurde ethische hacker toegang tot het systeem te krijgen.
Dit werkt bij afdelingen die zelf niet het inzicht hebben en handig geworden zijn in het goed weer spelen. Een pentest is een ongemakkelijke prikkel die een afdeling leert om met securityincidenten om te gaan. Dit proces werkt alleen als het management de juiste voorwaarden schept waarin de incidenten ook zijn op te lossen. Als securityincidenten bijvoorbeeld op het operationeel budget drukken, dan zullen deze weggemoffeld worden. Het management dient te beseffen dat security ten laste van de operatie gaat en dat dit een normale zaak is.
- Red and blue teaming
Met red and blue teaming zorgt het ‘rode team’ voor echte incidenten. Dit echter in opdracht van de ceo en binnen bepaalde kaders. Deze mensen worden om duidelijke redenen geen vrienden van de business. Het ‘blauwe team’ probeert de incidenten ook daadwerkelijk op te lossen.
Ook dit is een onplezierige pijnprikkel voor de organisatie. Het is wel een sterke leerschool. Het perst de organisatie over een sterke leercurve die normaal niet gevolgd zou worden. Een van de grotere organisaties van Nederland heeft dit succesvol toegepast om de logge organisatie in beweging te brengen.
- Early sense: grc tooling
Een wakker management heeft onafhankelijke gegevens nodig om te kunnen achterhalen of er echt problemen zijn. Als er geen onafhankelijke bron van de status is, dan vervalt de organisatie terug in het opstellen van lijstjes waaraan naar eigen goeddunken groene vinkjes worden toegevoegd. Het hebben van betrouwbare, ongekleurde, onafhankelijke informatie maakt het verschil.
Implementeer een governance risk and compliance (grc)-tool en stel een riskmanagementproces op. Een grc-tool scant het systeem en brengt risico’s aan het licht. Dit is ook wat internal audit nodig heeft om hun werk te kunnen doen. Deze methode werkt minder radicaal dan de twee bovenstaande. Wat met deze methode gedaan wordt is dat fouten in het verstrekken van rechten zichtbaar worden gemaakt. Fouten ontstaan nu eenmaal en kondigen zich ook niet aan. Een grc-tool is ‘het licht aandoen’, waarna is te zoeken naar een oplossing. Ook hier wordt de organisatie enigszins geduwd over een bepaalde leercurve.
- Awareness games
De bovenstaande punten duwen de organisatie omhoog op een leercurve. Je leert immers door fouten te maken. Waarom dan niet veel fouten maken? Bij awareness games voert een medewerker een spel uit waarin bepaalde onderdelen extra getraind worden. Mensen zover krijgen dat ze hieraan meedoen, zal niet altijd even makkelijk gaan.
- Ander bloed
Organisaties zitten soms in een flow waar ze niet makkelijk meer uit komen. Met het huidige personeel is de gewenste scherpe bocht die gemaakt moet worden niet altijd realiseerbaar. Het toevoegen van nieuw maar vooral bewust ander bloed is dan een oplossing. Selecteer mensen niet alleen op hun kennis maar vooral op hun houding. Dit betekent dat de groepsdynamiek anders wordt. Voorwaarde is dat het management de nieuwe medewerker kiest en goed op zijn nieuwe taak wordt voorbereid.
Zelfgenoegzaamheid
Standaardveranderingsmanagement gaat er nog steeds van uit dat de organisatie volledig in de verandering moet worden meegenomen. Zelfgenoegzaamheid binnen de organisatie wordt gezien als een storende factor waardoor een geplande wijziging kan mislukken. De bovengenoemde zes methoden pakken dat zelfgenoegzaamheid aan door druk uit te oefenen. Deze druk zal uiteraard niet door iedereen als prettig worden ervaren. De medewerkers die wat verder kijken zien echter wel dat de verandering de organisatie ten goede komt en dat ook het werken in de nieuwe situatie prettiger is.
Waar de genoemde methoden echter ook niet zonder kunnen is leiderschap. Leiderschap speelt een cruciale rol bij verandering. Sommige managers hebben dit natuurlijke talent, anderen niet. Het verschil wordt bepaald door of het hoger management deze kwaliteiten kan herkennen of niet. Je kunt iemand met de juiste houding nog inhuren, maar het spotten van blinde vlekken in de organisatie is de echte kunst.
Mark Deiss is SAP-securityconsultant
Ook deel 2 gaat niet om het wegnemen van de obstakels door draagkracht voor verandering te creëren want ik stelde bij deel 1 al dat er een verschil zit tussen het verbeter- en verandermanagement. Verbetering (evolutie) gaat namelijk om het aanpassen van iets wat er al is terwijl verandering (revolutie) om iets nieuws gaat. Rode en blauwe oceaan gaat volgens INSEAD ook om hetzelfde als ik kijk naar markten waar de regels straks zijn en concurrentie hoog versus markten waar de regels achter de ontwikkelingen aangaan zodat er meer kansen zijn. Uit compliant, flexibel en winstgevend kun je uiteindelijk maar twee kiezen als de markt verzadigd en gereguleerd is.
Compliance is opmerkelijk vaak een hond die blaft maar niet bijt door afwegingen in de risico’s want risico acceptatie in de keten gaat om het doorschuiven van de zwarte piet. Sap-per-der-flap is Dikke Deur bang voor oude koeien want blinde vlek in de organisatie gaat om de aansprakelijkheid. Flexibel en winstgevend maar niet compliant door de hoge kosten is een afweging aangaande de impact van risico’s op de business. Medewerkers die verder kijken dan eerst volgende kwartaalcijfers zien dat niet elke verandering een verbetering is. Het prijskaartje van verandering gaat om de financiële draagkracht want kunst van consultancy begint bij de blinde vlek van de rekening.
‘Talent and genius operate outside the rules, and theory conflicts with practice’ – Von Clausewitz
Combineren van de PDCA-loop vanuit het verbetermanagement met OODA-loop van het verandermanagement zorgt ervoor dat de processen van nieuwe technologie voorzien worden. Want de gewenste scherpe bocht van verandering vanuit het blikveld van de consultant of de noodzakelijk scherpe bocht vanuit de markt gaat om innovatieve technologieën zoals de AI aangedreven compliance tools met door Brenno bekritiseerde algoritmen en blockchain-gebaseerde audits met gestempelde bonnetjes. Het probleem is namelijk een gebrek aan nieuw bloed waardoor automatisering van processen noodzaak wordt en de behoudende oude mannen een status quo knuffelen die geen garanties voor de toekomst biedt.
Door ondernemerschap kruipt het bloed soms waar het niet gaan mag door innovatie vanuit de werkvloer want nieuwsgierigheid levert meer op dan leiderschap zoals ik al stelde bij deel 1. Doe voor, doe mee en doe zelfstandig in de kennisborging waren de LETRA spelletjes als de quote van Antoine de Saint-Exupéry omdat het bereiken van een doel om een innovatieve inzet van de middelen ging. Niet rechtmatig maar wel doelmatig gaat om de keuzen in een conflict want obstakels kun je overwinnen of omzeilen.