Techniquement, les politiques accordent ou limitent l'accès à quelque chose déjà contrôlé par un rôle/cercle (c'est-à-dire un domaine). Étant donné que les domaines donnent un contrôle exclusif, des politiques sont nécessaires pour affiner davantage qui et/ou comment quelqu'un peut avoir un impact sur un domaine. Donc, par essence, une politique est une contrainte que vous devez respecter lorsque vous agissez.

‍

Les domaines et les politiques vont toujours de pair. Toujours. Donc, pour vraiment comprendre les politiques, vous devez d'abord comprendre les domaines — ce qu'ils sont et comment ils fonctionnent (lisez l'apprentissage en ligne sur les domaines si vous ne l'avez pas déjà fait).

‍

Ainsi, une façon utile de penser aux politiques est de commencer par réfléchir à ce que votre rôle/cercle contrôle. Vous ne pouvez pas gouverner ce que vous ne contrôlez pas. Exemple : Vous souhaitez limiter les rôles qui peuvent modifier le site Web, votre première question doit être : "Mon rôle contrôle-t-il le site ?"

‍

− Donner accès à un domaine ou à quelque chose d’autre exclusivement contrôlé par le cercle. Cela inclut la spécification des conditions qui doivent être suivies pour accéder au domaine. (par exemple, "Tout le monde peut publier sur le compte Facebook de l'entreprise tant qu'il signe avec son propre nom").

‍

− Limiter l'accès en spécifiant une certaine manière d'utiliser un actif (par exemple, "Chaque rôle créant un compte d'entreprise avec un service tiers doit utiliser un mot de passe fort d'au moins 8 caractères").

‍

− Définir un processus spécifique pour faire quelque chose au sein du cercle (par exemple, "Tous les projets doivent être suivis dans Holaspirit").

‍

− Ou carrément interdire une activité (par exemple "Aucun autre rôle que la Finance n'est autorisé à partager les données financières de l'entreprise").

‍

Si un rôle en dehors du cercle veut constamment avoir un impact sur le domaine, alors une politique peut être adoptée à l'intérieur du cercle pour ouvrir l'accès. Vous ne pouvez pas conduire la voiture de votre voisin sans autorisation, mais imaginez que votre voisin adopte la politique suivante : « Les voisins d’en face peuvent également conduire notre voiture familiale ». C'est cela, ouvrir l'accès d'un domaine en propriété à quelqu'un d'extérieur. Dans le cas de ce voisin à la fois généreux et imaginaire, à quelqu’un d’extérieur à la famille.

‍

D'un autre côté, une politique peut restreindre davantage un domaine au sein du groupe qui en est propriétaire. Vos voisins peuvent limiter davantage les membres de leur famille qui peuvent conduire la voiture (par exemple, « tout le monde dans la famille peut conduire la voiture, sauf le bébé »). Étant donné que le domaine appartient à une famille, n'importe qui dans la famille peut l'utiliser par défaut, mais il peut être judicieux d'exclure certains membres de la famille.

‍

Parfois, il ne suffit pas de définir qui peut ou non avoir un impact sur le domaine. Souvent, une politique doit en dire plus. Ainsi, elle peut préciser davantage ce qu'il faut faire pour avoir le droit d'avoir un impact sur le domaine. Ces politiques fonctionnent comme des instructions « Si, alors… ». Voici un exemple de la façon dont une telle politique pourrait être :

‍

Toute personne utilisant des mots de passe pour sécuriser des comptes liés à l'entreprise et donnant accès aux actifs de l'entreprise ou à des données sensibles doit s'assurer que 

• ces mots de passe sont solides, qu'ils ne sont pas dupliqués sur un autre système, qu'ils ne sont stockés nulle part, à l'exception d'un référentiel hautement protégé, 
• le texte réel du mot de passe n’est partagé avec nul autre.

‍

Dans cet exemple, vous pouvez voir la structure « Si, alors… ». Si vous utilisez des mots de passe pour sécuriser etc. , vous devez vous assurer que ces mots de passe sont forts etc.

‍

La plupart des politiques sont construites sur cette structure « Si, alors… ». Recherchez-la ou utilisez-la vous-même lorsque vous proposez une évolution de gouvernance (demandez-vous « Comment puis-je formuler cette politique comme une déclaration « Si, alors… »  ?).

‍

Les politiques s'appliquent uniquement lorsque quelqu'un veut avoir un impact sur un domaine, de sorte que la politique ne peut pas obliger quelqu'un à prendre des mesures. Et ici, je parle des mots de la politique. Cela signifie qu'il serait invalide pour une politique de dire : "Le marketing publiera un bulletin d'information trimestriel", car littéralement, cela nécessite une action (c'est-à-dire "Le marketing publiera...).

‍

En pratique, les politiques qui "nécessitent une action" devraient faire l'objet d'une objection en tant que gouvernance non valide (GNV), car "Les règles définissent une politique comme une limite ou une attribution d'autorité pour avoir un impact sur un domaine, et selon mon interprétation, cette politique ne répond pas à cette définition ». N'hésitez pas à objecter ainsi. Si vous voulez vraiment qu’autrui envisage de prendre une mesure continue, utilisez plutôt une redevabilité.

‍

Ainsi, une politique ne peut pas exiger une action dans le vide, mais une politique peut exiger une action soit avant comme condition d'impact sur un domaine, soit après comme conséquence de l'avoir impacté. Encore une fois, je vais utiliser la structure « Si, alors… » pour illustrer :

‍

« Toute personne souhaitant mettre à jour le site doit se conformer à la charte éditoriale éditée par Marketing. (c'est-à-dire que si vous souhaitez mettre à jour le site Web, vous devez vous conformer à la charte. L'action vient avant comme condition).

‍

Ou…

‍

"Quiconque utilise une voiture de société doit la restituer avec le plein d'essence." (c'est-à-dire si vous utilisez une voiture de société, alors vous devez la restituer avec un réservoir plein. L'action vient après en conséquence).

‍

Ainsi, une autre façon de dire « les politiques ne peuvent pas exiger d'action », revient à « les politiques doivent permettre une prise de décision consciente ». Une politique telle que "Si vous respirez de l'air, vous devez soumettre votre feuille de temps le jeudi" serait invalide, car je ne peux pas contrôler si je respire ou non de l'air.

De même, une politique telle que "Tout rôle qui reçoit une demande par e-mail d'un client doit la soumettre au service client" serait également invalide au motif que je n'ai aucun contrôle sur le fait que quelqu'un d'autre me contacte ou non.

‍

Les domaines peuvent être délégués vers le bas bien sûr. Comme lorsque le cercle général délègue le domaine « Marketing Newsletter » au sous-cercle Marketing. À ce stade, les rôles du cercle général n'ont plus le pouvoir d'influencer la newsletter sans l'autorisation du cercle Marketing (à moins que la gouvernance ne soit modifiée).

‍

La section 2.1.3 de la Constitution stipule : "Cependant, le Cercle se réserve le droit d'amender ou de supprimer cette délégation de Domaine, ou de définir ou de modifier des Politiques qui accordent ou restreignent davantage l'autorité du Rôle au sein du Domaine."

‍

Cela signifie que le cercle général pourrait toujours adopter une politique liée au domaine "Marketing Newsletter" même si le domaine reste la propriété du sous-cercle Marketing. Comme si un parent exigeait qu'un enfant porte un casque lorsqu'il fait du vélo

‍

Nouveau vélo = domaine du sous-cercle enfant ;

Enfant = propriétaire du domaine ;

Parent = Cercle général ;

Politique = Si l'enfant veut faire du vélo, il doit porter un casque.

‍

Les politiques ne peuvent pas contrôler quelque chose que l'organisation ne possède pas

L'organisation ne peut gouverner que ce qu'elle possède comme sa propriété (c'est-à-dire ses domaines, ses actifs, etc.). Ceci est également vrai pour un cercle. Étant donné que les politiques sont toujours connectées à un domaine ou à quelque chose d'autre contrôlé par le cercle (que nous pourrions appeler un "domaine implicite"), vous ne pouvez adopter une politique que sur ce que vous possédez déjà. 

Par exemple, si vous souhaitez une politique concernant les rôles autorisés à mettre à jour la liste de diffusion des clients, vous devez d'abord demander : "Ce cercle contrôle-t-il la liste de diffusion des clients ?" Si ce n'est pas le cas, obtenez le domaine délégué ou traitez la tension via le Représentant du cercle jusqu'à ce que ledit domaine soit affecté au cercle approprié.

‍

De plus, les politiques relatives aux heures d'ouverture ou à d'autres attentes des personnes qui sont généralement consignées dans un manuel de l'employé ne sont généralement pas des politiques valides car l'organisation ne possède ni ne contrôle les personnes, elle ne contrôle que les rôles.

‍