Jeg burde være den sidste til at skrive dette
indlæg. Mine partnere kan bekræfte, at jeg som
født drifts-mand er faldet i gryden som barn, og siden
har gået med både livrem og seler. Men lad mig
alligevel springe ud i det!
It-folket lever i interessante tider. Ifølge
analytikerne er vi blevet agile og dynamiske. Vi tilskynder til
innovation både i egne rækker og i forretningen,
så den med vores hjælp kan sejle ud på det
blå ocean, hvor ingen konkurrenter kan finde ud og
udfordre os. Vi har smidt eksperterne over bord og lader
”folket” selv bestemme, hvordan
it-løsningerne skal skrues sammen. Og vi er holdt op med
at planlægge, designe og implementere, men ser i stedet
undrende til, mens nye services og løsninger over tid
emergerer i menneskelige kreative og skabende netværk. Vi
kalder det extreme programming, wiki, kollektiv intelligens,
sociale teknologier eller folksonomier. Vi er gået fra
industrialismens forudsigelige metodiske og strukturerede
styring til en organisk og dynamisk verden, der i højere
grad er underlagt naturens præmisser. Kort sagt –
vi er nu efter mange års forudsigelser endelig
trådt ind i postmodernismens tidsalder.
Compliance: Kommet for at blive eller
industrisamfundets sidste
krampetrækninger?
Virkeligheden på gulvet er imidlertid en anden.
Lovgivningerne strammes, nye ISO-standarder opstår
hurtigere end man kan nå at læse dem, best
practices udbredes i en takt, som må gøre selv
lemminger misundelige, og selv kontrolforanstaltninger er
blevet et positivt ladet ord. Vi kender tendenserne under navne
som Sarbanes-Oxley, Euro-SOX, ISO/IEC xxxxx, PRINCE 2, ITIL,
CobiT, Business Excellence (EFQM) eller Six Sigma for blot at
nævne en brøkdel.
Og jeg skal være den sidste til at klage. Jeg tjener
til mit daglige brød på den nærmest
umættelige trang efter standardisering og best
practices.
Men jeg kan alligevel godt blive anfægtet og få en
nagende tvivl om, hvorvidt vi som it-professionelle er på
rette vej, eller om vi blot indordner os under
industrisamfundets sidste krampagtige forsøg på at
holde fast på styring og orden i en tid, hvor
kompleksiteten stiger, og dagligdagen i højere og
højere grad kan beskrives i form af kaotiske
processer.
Der er ingen tvivl om, at lovgivning og kontroller kan
være med til at sikre et vist minimum af redelighed. Der
er heller ingen tvivl om, at vi kan lære meget af
hinanden, og at vi ved at befæste den fælles viden
og erfaring i standarder og best practices sikrer, at vi
gør det rigtige, og at vi gør det rigtigt. Og al
erfaring viser også, at innovation har meget svære
vilkår, hvis ikke der er styr på de basale
processer. Det kan ethvert medicinalfirma skrive under
på.
Med livrem og seler
Problemet er bare, at vores trang til compliance
umærkeligt overtager dagsordenen, uden at vi har taget
aktiv stilling til de bagvedliggende årsager. Dybt inde i
hjertet af den meste lovgivning, standardisering og best
practices gemmer sig nemlig den samme forudsætning:
Lykken er at styre risici. Det tages for givet, at det i sig
selv er værdiskabende at identificere, vurdere og
imødegå risici. Udsagn som ”Strategisk
risikostyring er værdiskabende”, ”En
struktureret tilgang til risikostyring i alle led af
virksomheden skaber værdi”, ”Risikostyring
skal gennemsyre hele organisationen” og ”Det kan
betale sig at forebygge risici” gentages, så vi til
sidst accepterer dem forudsætningsløst. Og hver
gang et nyt problem opstår, imødekommer vi det med
endnu en lov, standard eller kontrol eller vi kopierer en best
practice fra naboen uden at spekulere over, om vi kunne have
grebet det anderledes an.
For det første er det jo ikke givet, at SOX er det
bedste svar på de amerikanske finansskandaler; at en mere
styret ITIL Problem Management proces er det bedste svar
på kvalitetsproblemer, eller at CobiT’s PO4
kontroller per automatik vil forbedre et problematisk samspil
mellem it-organisationen og forretningen. Det kunne jo
være, at der i stedet var behov for at se nye muligheder
og tænke innovativt.
For det andet bliver jeg altid bekymret, når selve
formålet med compliance eller best practice bliver
risikominimering. Når business casen for et CobiT projekt
udelukkende handler om at reducere risici, eller når
halvdelen af et projekt kick-off møde går med
risikoanalyse og foranstaltninger, er vi allerede bragt i
defensiven fra start. Vi risikerer at starte en
ørkenvandring som dramatisk reducerer sandsynligheden
for, at vi nogensinde kommer til at se ind i det
forjættede land af uudnyttede muligheder.
Spring ud
Arne Nielsson, den ti-dobbelte verdensmester i
roning, har turet landet tyndt med sine foredrag om at komme
”over stregen”. Det er der, hvor man ser
løsninger frem for problemer og muligheder før
udfordringer. Jeg har på egen krop igen og igen oplevet,
at et projekt pludselig har de nødvendige ressourcer,
eller at samspillet mellem it og forretning pludselig udvikler
sig frugtbart, når man befinder sig ”over
stregen”.
Det kræver imidlertid en lille forudsætning:
Mod. Hvis vi ikke blot vil overtage naboens best practice, men
gerne vil videre til next practice, som professor Flemming
Poulfelt for nylig udtrykte det i Børsen, skal vi turde
træffe valg, som ingen før os har truffet. Vi skal
med Søren Kierkegaard korsfæste fornuften og
foretage troens spring ud på de 70.000 favne vands dyb.
Der hvor vi ikke længere kan skjule handlingslammelse,
inkompetence eller bare ubevidste vaner bag best practices
eller standarder. Der hvor vi bliver sårbare, og ikke kan
bortforklare dårlig kvalitet eller et fejlende projekt
med, at vi følger en anerkendt metode. Men også
der, hvor vi har mulighed for at give vores konkurrenter
baghjul eller måske skabe en fantastisk spændende
arbejdsplads, der tiltrækker alle de gode hoveder fra
naboen.
Jeg skal være den sidste til at opfordre til at smide
barnet ud med badevandet. Jeg har set rigtig mange gode
resultater med best practices. Vi har alle brug for, at vi
styrer uden om de værste risici, at der er styr på
de basale processer, at vi måler og følger op
på vores resultater og at vi lærer af vores
erfaringer i en grad, så vi ikke gentager fejl. Det
må bare ikke overskygge det egentlige formål med
it: At støtte og effektivisere forretningen i dens
forretningsprocesser og tilskynde til udvikling og
innovation.
Brave men may die – but the cautious may never
live.
