2018
Framework van Oorzaken, Consequenties en
Governance Methoden van Shadow IT uit Literatuur
Een literatuur framework van augustus 2015 tot juni 2018ARJAN VAN ROSSUM
11038942
BACHELOR INFORMATIEKUNDE
BEGELEIDER: ARJAN VREEKEN
1
Abstract
Shadow IT is IT die wordt gebruikt zonder goedkeuring van de IT afdeling. Dit onderzoek laat een framework zien met daarin oorzaken, consequenties en governance methoden van Shadow IT uit literatuur van augustus 2015 tot juni 2018. In dit framework geeft ook de onderzoeksopzet, aanpak, methode voor dataverzameling en data-analyse van deze literatuur weer. Deze resultaten worden vergeleken met resultaten uit literatuur van december 2004 tot juli 2015. In recente literatuur blijkt dat steeds vaker een mixed method onderzoeksopzet gehanteerd wordt. Ook zijn er verschuivingen in onderzoeksthema’s, en onderzoekers zijn minder vaak negatief over Shadow IT. Governance methoden worden niet meer onder gerepresenteerd in recente literatuur.
2
Inhoud
1 Inleiding ... 4 1.1 Onderbouwing ... 4 1.2 Onderzoeksvraag ... 4 1.2.1 Deelvragen ... 4 1.3 Maatschappelijke relevantie ... 5 1.4 Wetenschappelijke relevantie ... 5 2 Methode ... 6 2.1 Introductie ... 6 2.2 Selectie ... 6 2.2.1 Zoektermen ... 6 2.2.2 Bibliotheken ... 6 2.3 Extractie ... 6 2.4 Vergelijking ... 7 3 Resultaten... 8 3.1 Introductie ... 8 3.2 Codering ... 8 3.3 Onderzoeksthema’s ... 10 3.3.1 Oorzaken ... 10 3.3.2 Consequenties ... 11 3.3.3 Governance methoden ... 12 4 Discussie ... 14 4.1 Introductie ... 144.2 SQ1: Recente literatuur over Shadow IT in termen van ‘onderzoeksopzet, aanpak, data-analyse en dataverzameling’. ... 14
4.3 SQ2: Recente literatuur over Shadow IT eruit in termen van ‘oorzaken’. ... 14
4.4 SQ3: Recente literatuur over Shadow IT eruit in termen van ‘consequenties’. ... 14
4.5 SQ4: Recente literatuur over Shadow IT eruit in termen van ‘governance methoden’. ... 14
4.6 SQ5: Verschillen in literatuur over Shadow IT uit 2004 tot 2015 tegenover literatuur over Shadow IT uit 2015 tot 2018? ... 15
4.6.1 Codering ... 15 4.6.2 Onderzoeksthema’s ... 15 5 Conclusie ... 17 5.1 Bevindingen ... 17 5.2 Beperkingen... 17 5.3 Vervolgonderzoek ... 18
3
6 Literatuur ... 19
6.1 Catalogue Plus ... 19
6.2 Association for Information Systems Electronic Library (AISeL) ... 19
6.2.1 Backward reference search ... 19
6.2.2 Forward reference search ... 20
7 Appendix ... 21
7.1 Overige resultaten ... 21
7.1.1 Codering ... 21
4
1 Inleiding
1.1 Onderbouwing
Mensen zijn vaak in de veronderstelling dat IT innovaties vanuit de IT afdeling van organisaties komen, of samen met de IT afdeling tot stand zijn gekomen. Het groeiende soft- en hardware aanbod, in combinatie met de groeiende affiniteit van bedrijven met deze middelen, hebben echter geleid tot het verwerpen van deze veronderstelling (Györy et al., 2012). Shadow IT staat voor alle soft- en hardware gebruikt door werknemers binnen organisaties, die geen formele goedkeuring heeft gekregen van de IT afdeling (Silic & Back, 2014). Ook wel bekend als Shadow Systems, kent Shadow IT zowel positieve als negatieve gevolgen (Behrens, 2009).
Kopper en Westner hebben in 2016 verslag gedaan over het opzetten van een literatuur framework over Shadow IT. Hun onderzoek behandelt publicaties geschreven tussen december 2004 en juli 2015. Hun framework bevatte eerder gepubliceerde oorzaken van Shadow IT, consequenties van Shadow IT en governance methoden van Shadow IT. Shadow IT wordt niet zomaar gebruikt binnen bedrijven, hier zijn altijd oorzaken voor. Dit kan zowel positieve als negatieve consequenties hebben. Governance methoden zijn methoden voor managers en bestuurders om met zaken zoals Shadow IT om te gaan. Mijn onderzoek bouwt voort op dit framework, en beschrijft een vernieuwd framework over Shadow IT, gebaseerd op onderzoeken gepubliceerd tussen augustus 2015 en juni 2018. Daarnaast worden het oude en het nieuwe framework vergeleken. Hierbij wordt bovendien gekeken of in deze periode relatief meer is geschreven over governance methoden van Shadow IT, iets wat volgens Kopper en Westner (2016) onder gerepresenteerd is in de literatuur.
1.2 Onderzoeksvraag
RQ: Hoe ziet recente literatuur over Shadow IT eruit in termen van het literatuur framework van Kopper en Westner (2016)?
Eerst laat ik zien welk type onderzoeksopzet, aanpak, data-analyse en dataverzameling wordt gebruikt in recente literatuur. Vervolgens worden alle oorzaken, consequenties en governance methoden die in recente literatuur voorkomen gerepresenteerd. Mijn onderzoek houdt dezelfde structuur aan als het onderzoek van Kopper en Westner (2016), en voegt daar een vergelijking tussen de inhoud van het framework van Kopper en Westner (2016) en het framework uit mijn onderzoek aan toe.
1.2.1 Deelvragen
SQ1: Hoe ziet recente literatuur over Shadow IT eruit in termen van ‘onderzoeksopzet, aanpak, data-analyse en dataverzameling’ uit Kopper en Westner (2016)?
SQ2: Hoe ziet recente literatuur over Shadow IT eruit in termen van ‘oorzaken’ uit Kopper en Westner (2016)?
SQ3: Hoe ziet recente literatuur over Shadow IT eruit in termen van ‘consequenties’ uit Kopper en Westner (2016)?
SQ4: Hoe ziet recente literatuur over Shadow IT eruit in termen van ‘governance methoden’ uit Kopper en Westner (2016)?
5 SQ5: Wat zijn de verschillen in literatuur over Shadow IT uit 2004 tot 2015 tegenover literatuur over Shadow IT uit 2015 tot 2018?
1.3 Maatschappelijke relevantie
Shadow IT is een slecht begrepen en relatief weinig onderzocht fenomeen binnen organisaties. Bestaand onderzoek laat veel verschillende oorzaken, gevolgen en governance methoden zien. Uit case studies worden vaak óf vooral positieve gevolgen, óf vooral negatieve gevolgen getrokken. Het beschreven framework in mijn onderzoek laat echter verschillende perspectieven rond het fenomeen zien. Hierdoor kunnen organisaties zich identificeren rond het fenomeen en bekend raken met relevante literatuur. Doordat het onderzoek recente literatuur classificeert zijn de thema’s rondom Shadow IT actueel en is er een grotere kans dat deze thema’s spelen bij hedendaagse organisaties.
1.4 Wetenschappelijke relevantie
Het onderzoek van Kopper en Westner (2016) is inmiddels dertien keer geciteerd door andere onderzoekers. Het framework blijkt bij te hebben gedragen aan nieuwe literatuur over Shadow IT. Vanaf 2016 is echter geen nieuw literatuuroverzicht gepubliceerd over Shadow IT, terwijl het fenomeen nog steeds belangrijk is binnen de informatiewetenschappen. Er is dus reden om een nieuw literatuuroverzicht op te stellen, om nieuwe thema’s binnen de oorzaken, gevolgen en
governance methoden van Shadow IT te identificeren en te classificeren. Volgens Kopper en Westner (2016) zijn governance methoden onder gerepresenteerd. Door te kijken naar de verschillen in literatuur over Shadow IT uit december 2004 tot juli 2015 en tegenover literatuur over Shadow IT uit augustus 2015 tot juni 2018 wordt bepaald of governance methoden nog steeds onder
6
2 Methode
2.1 Introductie
Mijn onderzoek hanteert een methode vergelijkbaar met die van Kopper en Westner (2016), met daarbij een toegevoegde vergelijking tussen het framework van toen en het framework in mijn onderzoek. Eerst wordt een selectie gemaakt van literatuur en wordt beschreven hoe deze is gevonden aan de hand van gebruikte zoektermen en bibliotheken. Vervolgens wordt de methode en inhoud van de gevonden literatuur geëxtraheerd in een framework. Dit framework wordt ten slotte vergeleken met die van Kopper en Westner (2016).
2.2 Selectie
2.2.1 Zoektermen
De combinaties ‘Shadow IT’, ‘Shadow system’ blijken, in tegenstelling tot synoniemen, verreweg het meest voor te komen in wetenschappelijke literatuur. Andere benamingen voor Shadow IT zijn ‘Shadow IT system’, ‘Shadow Sourcing’, ‘Feral system’, ‘Feral Practice’, ‘Workaround’, ‘Workaround IT’, ‘Workaround system’, ‘Un-enacted IT’, ‘Un-enacted Project’, ‘Unsanctioned IT’, ‘Stealth IT’, ‘Client system’, ‘Citizen IT’, ‘Marvel system’, ‘Rogue IT’, ‘Skunkwork IT’, ‘Grey IT’, ‘Hidden IT’, ‘Defiant system’, ‘Organizational IT Standard Deviation’, ‘IS Portfolio Drift’, ‘IT policy subversion’, ‘Individualization in IS’, ‘IT Consumerization’, ‘Bottom-up Initiative’, ‘Un-official Project’, ‘Covert End User Development’, ‘Personal Cloud Adoption’, ‘End-user Designed Cloud Computing’ en ‘Stealth Adoption of SaaS’ (Kopper & Westner, 2016b). Deze termen blijken vooral irrelevante zoekresultaten op te leveren en worden daarom achterwege gelaten in mijn onderzoek.
De zoekresultaten worden gefilterd op artikelen gepubliceerd tussen augustus 2015 en juni 2018. Hieruit worden alleen artikelen geselecteerd die in het Engels zijn geschreven en uit een peer reviewed journal komen. De termen ‘Shadow IT’ en ‘Shadow System’ worden met dubbele aanhalingstekens ingevoerd in de zoekmachine, om zo tot relevante literatuur te komen. Als namelijk zonder aanhalingstekens wordt gezocht, komt vooral literatuur over de letterlijke definitie van schaduw naar boven. Tevens wordt een praktische screening uitgevoerd om alleen relevante bronnen te selecteren. Als een artikel bijvoorbeeld wel de termen ‘Shadow IT’ bevat, maar het hoofdonderwerp van het abstract eigenlijk “Bring Your Own Device” of “Cloud Computing” blijkt te zijn, wordt dit artikel niet geselecteerd.
2.2.2 Bibliotheken
Als zoekmachines worden de UvA bibliotheek genaamd ‘Catalogue Plus’ en de ‘Association for Information Systems Electronic Library’ (AISeL) gebruikt. Hierin wordt gefilterd op peer reviewed artikelen die in het Engels zijn geschreven, om zo de kwaliteit van de artikelen te kunnen garanderen en het aantal zoekresultaten te beperken. Hier zijn elf artikelen uit gekomen. Vervolgens wordt backward en forward reference search op deze elf artikelen toegepast om tot meer artikelen te komen. Hierbij wordt opnieuw gebruikt gemaakt van een praktische screening om de resultaten te beperken tot artikelen die over Shadow IT gaan. Om kwaliteit te garanderen worden alleen artikelen gebruikt die terug te vinden zijn in de AISeL. Met deze methode zijn nog vijf artikelen toegevoegd aan het onderzoek. Deze artikelen zijn echter niet peer reviewed.
2.3 Extractie
Om te laten zien hoe recente literatuur over Shadow IT eruit ziet in termen van ‘onderzoeksopzet en aanpak, data-analyse en dataverzameling’ uit Kopper en Westner (2016), wordt gebruikgemaakt van het framework van Creswell (2009). Hierin worden dezelfde termen gebruikt als door Kopper en Westner. Wat zij ook aangeven is de ‘worldview’ van de onderzoekers, dit aspect is in
7
mijn onderzoek buiten beschouwing gelaten. Ondanks dat het wereldbeeld dat onderzoekers hebben bepalend zijn voor de methode die wordt gehanteerd in hun onderzoek, is dit niet noodzakelijk voor het analyseren van het onderzoek zelf. Belangrijker is om in te zoomen op de opzet en aanpak van onderzoek over Shadow IT.
Om onderzoeksthema’s rond Shadow IT te categoriseren zijn dezelfde categorieën gekozen als die door Kopper en Westner (2016) gebruikt zijn. Opnieuw wordt open gecodeerd (Elo & Kyngäs, 2007). Codes die hetzelfde representeren als de codes gebruikt door Kopper en Westner zijn hernoemd naar deze codes. Codes door Kopper en Westner die niet voorkwamen in recente literatuur zijn weggelaten en codes die niet voorkwamen in het onderzoek van Kopper en Westner zijn toegevoegd. Codes die in minder dan drie onderzoeken voorkomen zijn uit praktische overwegingen naar de appendix verplaatst. De overige codes zijn per categorie gerangschikt op het aantal keer dat ze voorkomen in de geselecteerde literatuur. Om een vergelijking te kunnen maken met het framework van Kopper en Westner wordt onder het aantal keer voorkomen van de code, het percentage van dit getal tegenover het totale aantal geselecteerde onderzoeken (16) weergegeven (zie tabel 2). Daaronder wordt het percentage weergegeven van hoe vaak de code in de door Kopper en Westner geselecteerde literatuur wordt weergegeven.
2.4 Vergelijking
Allereerst wordt bekeken of er verschil is in welk type onderzoek er is gedaan binnen de twee tijdsperioden: tot juli 2015 en vanaf augustus 2015, dit kan namelijk verschillen in onderzoeksthema’s deels verklaren. Dit wordt gedaan door in de kolom rechts van het aantal keer voorkomen van elke opzet, aanpak, dataverzameling en data analyse het percentage van het totaal aantal geselecteerde artikelen weer te geven. In de kolom rechts daarvan wordt het bijbehorende percentage uit de geselecteerde literatuur door Kopper en Westner (2016) weergegeven. Implicaties van de verschillen tussen deze percentages worden benoemd in de discussie.
Vervolgens worden de onderzoeksthema’s uit recente literatuur vergeleken met die van Kopper en Westner (2016) door per thema dat in meer dan twee artikelen voorkomt na te gaan of deze ook in het framework van Kopper en Westner (2016) voorkomt. Dit wordt opnieuw in percentages relatief tot het totaal aantal geselecteerde artikelen weergegeven, voor zowel mijn onderzoek als het onderzoek van Kopper en Westner. In tabel 2 bevinden deze percentages zich niet in de kolommen rechts van de artikelen maar er onder. Implicaties van de verschillen tussen deze percentages worden benoemd in de discussie.
8
3 Resultaten
3.1 Introductie
In paragraaf 3.2. worden de onderzoeksresultaten weergegeven in tabel 1 en tabel 2. Vervolgens wordt in paragraaf 3 elk onderzoeksthema uit tabel 2 gespecificeerd. Om tot duidelijke onderzoeksthema’s te komen zijn verschillende interpretaties van deze thema’s samengevoegd. De interpretaties van ieder artikel waarin het thema voortkomt zijn verantwoord in de secties ‘oorzaken’, ‘consequenties’ en ‘governance methoden’.
3.2 Codering
In tabel 1 geeft een overzicht van de opzet, aanpak, dataverzamelingsmethode en data-analysemethode van de geselecteerde literatuur. Daarnaast wordt opgeteld hoe vaak elk type voorkomt, hoe dit in relatie staat tot het totaal (16) en de vergelijkbare resultaten die Kopper en Westner (2016) vonden.
9
In tabel 2 worden de uitgebreide specificaties van elk geselecteerd artikel weergegeven. Per artikel wordt weergegeven welke onderzoeksthema’s er in voorkomen, welk type onderzoeksopzet en aanpak gehanteerd wordt, welke methode tot dataverzameling en data-analyse wordt gebruikt en hoeveel kwalitatieve participanten en cases en interviews zijn gebruikt.
Daaronder wordt opgeteld hoe vaak elk onderzoeksthema voorkomt, hoe dit in relatie staat tot het totaal (16) en welke vergelijkbare resultaten Kopper en Westner (2016) vonden.
10
3.3 Onderzoeksthema’s
3.3.1 Oorzaken
1. Shortcomings of IT systems (10 artikelen/63%)
Onderzoeken noemen vaak tekortkomingen in het IT-systeem als oorzaak van het gebruik van Shadow IT (Haag et al., 2015; Kopper, 2017; Mallman & Maçada, 2016; Steinhueser et al., 2017). Vaak blijkt dat de IT-afdeling oplossingen biedt die niet gericht zijn op de vraag van de gebruikers (Furstenau et al., 2016; Walterbusch et al., 2017; Spierings et al., 2017). Davison en Ou (2018) noemen de lage internetsnelheid van hotel kantoren als voorbeeld. Huber et al. (2016) geven aan dat veel Enterprise Resource Planning (ERP) systemen zwak zijn. Een andere reden is het gebrek aan IT-service-management (Zimmermann et al., 2016a). Deze indirecte oorzaak voor het gebruik van Shadow IT komt dus voort uit de vraag naar service bij gebruikers.
2. High IT user competence (4 artikelen/25%)
De hoge IT competentie van zogenaamde ‘digital natives’: mensen die opgegroeid zijn in het digitale tijdperk, draagt bij aan het ontstaan van Shadow IT (Zimmermann et al., 2016b). Digital natives hebben de middelen en vaardigheden om Shadow IT toepassingen in te zetten (Davison & Ou, 2018; Steinhueser et al., 2017). Shadow IT ontwikkelaars hebben soms zelfs sterkere IT-vaardigheden dan collega’s van de IT-afdeling (Spierings et al., 2017).
3. Low technical complexity (3 artikelen/19%)
Lage technische complexiteit is een oorzaak van Shadow IT. Shadow IT is vertrouwd en gebruiksvriendelijk (Mallmann & Maçada, 2016). Shadow IT oplossingen zijn minder complex dan ERP systemen (Huber et al., 2016). Ook is de drempel tot simpele Shadow IT oplossingen laag, door hun toenemende toegankelijkheid en gebruiksvriendelijkheid (Spierings et al., 2017).
4. Cloud computing (3 artikelen/19%)
Onderzoeken halen cloud computing toepassingen aan als voorbeeld van Shadow IT met lage technische complexiteit. ‘Cloud computing’ in het algemeen wordt echter ook als oorzaak van het gebruik van Shadow IT genoemd (Walterbusch et al., 2017; Zimmermann et al., 2016b). Dit komt volgens Kopper (2017) door de lage barrière tot het gebruik van Cloud computing.
5. Cost pressure (3 artikelen/19%)
Onderzoeken beschrijven kostendruk als oorzaak van van Shadow IT. Dit komt omdat oplossingen aangeboden door de IT afdeling, in tegenstelling tot Shadow IT oplossingen, vaak niet in het budget van business units passen (Furstenau et al., 2016; Spierings et al., 2017). In andere gevallen zijn werknemers onwetend over hun gebruik van Shadow IT, door kostendruk bij hun training over het IT beleid (Walterbusch et al., 2017). In dit geval is kostendruk bij het inwerken van nieuwe werknemers een oorzaak voor een gebrek aan bewustzijn over Shadow IT, en is kostendruk een indirecte oorzaak van Shadow IT.
6. Peer pressure (3 artikelen/19%)
Groepsdruk kan een reden zijn voor het gebruik van Shadow IT (Mallman en Maçada, 2016). Haag en Eckhardt (2017) geven het communicatiemiddel Whatsapp als voorbeeld van een voorkomende Shadow Informatietechnologie dat onder groepsdruk wordt gebruikt door collega’s. Silic et al. (2017) geven als voorbeeld een situatie waarin een meerdere een werknemer vraagt om een taak uit te voeren die alleen mogelijk is met het gebruik van Shadow IT. Door de machtsverhouding ontstaat in dit geval een vorm van groepsdruk.
11
Naast een voorbeeld van groepsdruk is leiderschaps-ondersteuning ook een oorzaak van Shadow IT(Spierings et al., 2017; Kopper, 2017). In het geval van de Chinese hotelketen met een streng social media beleid ondersteunen lokale managers het gebruik van Shadow IT toepassingen (Davison & Ou, 2018).
3.3.2 Consequenties
8. Productivity gain (14 artikelen, 88%)
Shadow IT zorgt voor productiviteitswinst (Spierings et al., 2017; Walterbusch et al., 2017; Mallmann & Maçada, 2016) en dus voor hogere prestaties onder werknemers (Davison & Ou, 2018; Haag & Eckhardt, 2017; Haag et al., 2015; Zimmermann et al., 2016b). Shadow IT biedt efficiënte middelen voor dagelijks werk (Huber et al., 2016), waardoor problemen sneller worden opgelost (Myers et al., 2017). Shadow IT zorgt er voor dat werknemers efficiënter en effectiever werken (Silic et al., 2017; Kopper, 2017; Steinhueser et al., 2017). Efficiëntie en effectiviteit dragen bij aan productiviteitswinst. Het gebruik van zelfgemaakte Excel macro’s (Silic et al., 2016) en ‘Software as a Service’ (SaaS) (Zimmermann et al., 2016a) zijn voorbeelden van productiviteitsverhogende Shadow IT.
9. Innovation increase (11 artikelen, 69%)
Een toename in innovatie (Davison & Ou, 2018; Haag & Eckhardt, 2017; Spierings et al., 2017; Walterbusch et al. 2017; Zimmermann et al., 2016a; Haag et al., 2015; Kopper, 2017; Steinhueser et al., 2017; Zimmermann et al., 2016b), in combinatie met creativiteit (Myers et al., 2017), is ook een consequentie van Shadow IT. Het stimuleren van Shadow IT zorgt er voor dat werknemers zelf met suggesties kunnen komen om hun werkzaamheden te verbeteren, er betere communicatie tussen de IT afdeling en IT gebruikers plaatsvindt en dat er betere samenwerking tussen Shadow IT gebruikers en partners ontstaat (Silic et al., 2016). In dit geval zorgt stimuleren van Shadow IT er voor dat een toename in innovatie duidelijker zichtbaar wordt.
10. Security risks (11 artikelen, 69%)
Onderzoekers zien Shadow IT als een groot veiligheidsrisico (Haag & Eckhardt, 2017; Huber et al., 2016; Silic et al., 2017; Silic et al., 2016; Haag et al., 2015; Kopper, 2017; Steinhueser et al., 2017; Zimmermann et al., 2016b). Volgens Walterbusch et al. (2017) kan het downloaden van Shadow IT gepaard gaan met malware en spyware. Furstenau et al. (2016) beschrijven een situatie waarin Shadow IT onderhouden wordt door een freelance medewerker, wat grote veiligheidsrisico’s met zich meebrengt. Ook komt het voor dat oude Shadow IT wordt vergeten en niet wordt verwijderd, wat ook veiligheidsrisico’s oplevert (Myers et al., 2017). In het onderzoek van Silic et al. (2017) zijn participanten significant vaak in de veronderstelling dat de voordelen van Shadow IT zwaarder wegen dan de nadelen van Shadow IT. Deze werknemers geven aan bewust veiligheidsrisico’s te nemen.
11. Data inconsistencies (9 artikelen, 56%)
Naast veiligheidsrisico’s omtrent data kan Shadow IT ook data inconsequenties tot gevolg hebben (Furstenau et al., 2016; Haag et al., 2015; Kopper, 2017; Steinhueser et al., 2017). Hiermee komt de integriteit van de data in gevaar (Huber et al., 2016; Myers et al., 2017), of kan data beschadigd raken (Silic et al., 2017). Naast data inconsequentie kan Shadow IT zorgen voor duplicaties (Zimmermann et al., 2016a) en dataverlies (Walterbusch et al., 2017). Deze gevolgen dragen allemaal bij aan data inconsequenties, doordat verschillende versies van data niet overeenkomen.
12. Loss of control (5 artikelen, 31%)
Als Shadow IT van een kritieke mate van belang is voor een organisatie, betekent dit een verlies in controle voor de IT afdeling (Furstenau et al., 2016; Lund-Jensen et al., 2016; Mallman & Maçada, 2016). CIO’s onderschatten de hoeveelheid Shadow IT binnen de organisatie, en daarmee ook de
12
controle die ze hebben (Haag & Eckhardt, 2017). Davison en Ou (2018) stellen dat werknemers de stabiele relatie tussen business en IT onderbreken met Shadow IT. Dit duidt aan dat de business afdeling controle wint en de IT afdeling controle verliest.
13. Flexibility increase (5 artikelen, 31%)
Recente literatuur over Shadow IT geeft een toename in flexibiliteit aan (Haag et al., 2015; Steinhueser et al., 2017; Zimmermann et al., 2016b). Hierbij kan het bijvoorbeeld gaan om flexibiliteit van workflows (Myers et al., 2017), of flexibiliteit van bedrijfsprocessen (Zimmermann et al., 2016a).
14. Inefficiencies (3 artikelen, 19%)
Door de onvolwassen aard van Shadow IT ontstaan inefficiënties (Zimmermann et al., 2016a; Zimmermann et al., 2016b). Deze inefficiënties gaan gepaard met verhoogde kosten (Kopper, 2017).
3.3.3 Governance methoden
15. Policy setup & control (9 artikelen, 56%)
De termen ‘policy setup’ en ‘continuous control’ uit Kopper en Westner (2017) zijn samengevoegd tot ‘policy setup & control’. Uit de gevonden literatuur blijkt dat het opzetten en het handhaven van beleid altijd samen genoemd wordt. Dit is logisch omdat er zonder controle minder waarde aan beleid wordt gegeven en er zonder beleid geen controle uitgeoefend kan worden op gedrag.
Je kunt werknemersgedrag sturen door het opzetten en handhaven van beleid (Silic et al., 2017; Haag et al., 2015; Kopper, 2017; Mallmann & Maçada, 2016; Steinhueser et al., 2017). Managers kunnen werknemers straffen op het niet volgen van het beleid (Walterbusch et al., 2017; Zimmermann et al., 2016a), maar moeten wel kijken of dit redelijk is (Myers et al., 2017). Silic et al. (2016) suggereren dat beleid aangepast moet worden om het ontwikkelen van Shadow IT te stimuleren.
16. Ownership transfer to IT (7 artikelen, 44%)
Als officiële IT systemen genoeg verwaarloosd worden en in plaats daarvan alleen Shadow IT gebruikt wordt, kan een organisatie voor eigendomsoverdracht van Shadow IT naar het officiële IT systeem kiezen (Davison & Ou, 2018; Walterbusch et al., 2017; Kopper, 2017; Zimmermann et al., 2016b). Of eigendomsoverdracht nodig is ligt aan de mate van afhankelijkheid in data en functionaliteit tussen Shadow IT en het officiële systeem (Huber et al., 2016). In het geval van hoge afhankelijkheid in data of functionaliteit is eigendomsoverdracht nodig. Bij Shadow IT van relatief lage kwaliteit is eigendomsoverdracht, inclusief het herontwerpen, een goede keuze (Zimmermann et al., 2016a). Bij eigendomsoverdracht moet worden gezorgd voor een acceptabel niveau van kwaliteit en betrouwbaarheid (Spierings et al., 2017). Als het mogelijk is om dit niveau te bereiken is eigendomsoverdracht een geschikte governance methode.
17. Ownership legitimization (6 artikelen, 38%)
Als niet voor eigendomsoverdracht naar IT wordt gekozen is eigendom legitimering van Shadow IT een mogelijkheid om kwaliteit te verhogen en risico te verlagen (Huber et al., 2016; Spierings et al., 2017; Kopper, 2017). Eigendom legitimering wil zeggen dat Shadow IT niet in handen valt van de IT afdeling, maar met behulp van coördinatie vanuit de IT afdeling onderhouden wordt door de gebruiker. Goede coördinatie binnen de hele organisatie is nodig voor een succesvolle Shadow IT implementatie (Silic et al., 2016). Werknemers moeten bijvoorbeeld de kans krijgen om de vraag vanuit de business te communiceren aan de IT afdeling (Walterbusch et al., 2017). Coördinatie is in dit geval het ondersteunen van communicatie. In 45% van de cases uit Zimmermann et al. (2016) is eigendom legitimering van Shadow IT al actief.
13
Er zijn reeds opgestelde procedures om Shadow IT te identificeren en te reduceren (Furstenau et al. 2016), zoals die van Zimmermann et al. (2016). Praten met werknemers kan bijvoorbeeld een middel zijn voor identificatie van Shadow IT en de oorzaak er achter (Walterbusch et al., (2017). Pas als Shadow IT geïdentificeerd wordt kunnen de voordelen ervan benut worden (Haag et al., 2015), of het beleid afgedwongen worden (Kopper, 2017).
19. Awareness training (5 artikelen, 31%)
Bewustheid creëren over de risico’s van Shadow IT kan werknemers overhalen deze vorm van IT niet te gebruiken (Walterbusch et al., 2017; Haag et al., 2015; Kopper, 2017). Een nieuwe governance stijl moet worden aangenomen waarin algemene bewustheid wordt gecreëerd rond Shadow IT (Silic et al., 2016). In het onderzoek van Silic et al. (2017) zijn participanten significant vaak in de veronderstelling dat de voordelen van Shadow IT zwaarder wegen dan de nadelen van Shadow IT. Door bewustzijn rond werknemers te creëren over de onjuistheid van deze veronderstelling, kan het gebruik van Shadow IT worden tegengegaan.
20. Risk management (4 artikelen, 25%)
Managers kunnen risicomanagement inzetten (Zimmermann et al., 2016a; Kopper, 2017) om decentralisatie tegen te gaan (Furstenau et al., 2016). Alleen als Shadow IT en bijkomende risico’s bekend zijn kunnen managers er op reageren (Walterbusch et al., 2017). Identificatie van risico’s van Shadow IT en het vormen van een reactie hierop wordt beschouwd als risicomanagement.
21. Encouragement (3 artikelen, 19%)
Door Shadow IT aan te moedigen kunnen de voordelen ervan worden benut (Haag et al., 2015; Mallmann & Maçada, 2016). Aanmoediging van Shadow IT waar een sterke samenhang tussen verschillende stakeholders bestaat kan worden gebruikt om het proces aan beiden kanten, de business en de IT, veilig te krijgen (Silic et al., 2016).
14
4 Discussie
4.1 Introductie
De discussie geeft antwoord op elke deelvraag. Elk antwoord wordt bediscussieerd. In de conclusie worden de implicaties van deze antwoorden gegeven.
4.2 SQ1: Recente literatuur over Shadow IT in termen van ‘onderzoeksopzet, aanpak,
data-analyse en dataverzameling’.
In recente literatuur over Shadow IT wordt vaak (50%) gebruikgemaakt van een ‘mixed method’ onderzoeksopzet. Hierbij wordt net zo vaak een ‘convergent parallel’ (25%) aanpak als een ‘explanatory sequential’ (25%) aanpak gehanteerd. Dataverzameling wordt gedaan vanuit uiteenlopende (combinaties van) bronnen. Enquêtes en/of interviews worden hierbij vaak ingezet. Data-analyse wordt vaak gedaan middels codering (38%), maar door het hoge aantal ongespecificeerde data-analyse methoden is niet zeker of codering ook daadwerkelijk de meest voorkomende data-analyse methode is.
4.3 SQ2: Recente literatuur over Shadow IT eruit in termen van ‘oorzaken’.
Veruit de meest voorkomende oorzaken in recente literatuur over Shadow IT zijn de tekortkomingen van IT systemen. Deze worden in 63% van de geselecteerde literatuur genoemd, tegenover andere oorzaken die in maximaal 25% van de geselecteerde literatuur worden genoemd. Naast praktische oorzaken zoals ‘shortcomings of IT systems’ (63%), ‘high IT user competence’, ‘low technical complexity’ (19%), ‘cloud computing’ (19%), en ‘cost pressure’ (19%), worden ook psychologische oorzaken zoals ‘peer pressure’ (19%) en ‘management support’ (19%) genoemd.
4.4 SQ3: Recente literatuur over Shadow IT eruit in termen van ‘consequenties’.
Consequenties van Shadow IT komen veel voor in recente literatuur. Positieve consequenties zoals ‘productivity gain’ (88%), ‘innovation increase’ (69%) en ‘flexibility increase’ (31%) hebben opgeteld een hoger totaal (30) in tabel 2 dan negatieve consequenties (28), maar dit verschil is verwaarloosbaar klein (2). ‘Security risks’ (69%), ‘data inconsistencies’ (56%), ‘loss of control’ en ‘inefficiencies’ (19%) komen in totaal bijna net zo hoog uit.
4.5 SQ4: Recente literatuur over Shadow IT eruit in termen van ‘governance
methoden’.
‘Policy setup & control’ (56%) en ‘ownership transfer to IT’ (44%) zijn de meest voorkomende governance methoden in recente literatuur over Shadow IT. Dat de meest voorkomende governance methoden gericht zijn op het opruimen van Shadow IT komt waarschijnlijk door de negatieve consequenties van Shadow IT. Governance methoden die als uitgangspunt hebben om zowel de negatieve consequenties te verminderen als de positieve consequenties te waarborgen worden echter ook veel genoemd in recente literatuur. Dit zijn bijvoorbeeld ‘ownership legitimization’ (38%), ‘identification of Shadow IT’ (31%), ‘identification of Shadow IT’ (31%) en ‘awareness training’ (31%). Ten slotte wordt een governance methode genoemd waarbij het maximaliseren van positieve consequenties het uitgangspunt is, namelijk ‘encouragement’ (19%).
15
4.6 SQ5: Verschillen in literatuur over Shadow IT uit 2004 tot 2015 tegenover
literatuur over Shadow IT uit 2015 tot 2018?
4.6.1 Codering
In tabel 1 is te zien dat de literatuur die in mijn onderzoek gebruikt wordt relatief vaak een mixed method onderzoeksopzet (50%) wordt gehanteerd. Bij de door Kopper en Westner (2017) gebruikte literatuur gaat het relatief vaak om een kwalitatieve onderzoeksopzet (67%). Onderzoekers gebruiken tussen 2015 en 2018 nog steeds relatief vaak kwalitatieve databronnen, maar breiden het onderzoek uit door ook gebruik te maken van kwantitatieve dataverzameling. In 25% van de gevallen worden kwalitatief en kwantitatief onderzoek parallel aan elkaar uitgevoerd, en in 25% van de gevallen volgen kwalitatief en kwantitatief elkaar op. Onderzoekers willen Shadow IT mogelijk vanuit meerdere perspectieven onderzoeken.
In tabel 1 is ook te zien dat codering (38%) relatief vaak als data-analyse methode wordt gebruikt. In door Kopper en Westner (2016) gebruikte literatuur gebeurt dit ook relatief vaak (37%). In beiden frameworks valt echter op te merken dat de data-analyse methode relatief vaak onbekend is. In mijn onderzoek gaat het om een percentage van 38%, bij Kopper en Westner (2016) gaat het om een percentage van 37%. Deze percentages zijn dermate hoog dat er geen duidelijke verschillen in data-analyse methoden gevonden kunnen worden.
4.6.2 Onderzoeksthema’s
4.6.2.1 OorzakenIn tabel 2 is te zien dat ‘shortcomings of IT systems’ relatief het meest (63%) wordt aangehaald als oorzaak van Shadow IT. Daarna volgt ‘high IT user competence’, dat slechts in 25% van de gebruikte literatuur wordt aangehaald als oorzaak. Dit patroon is vergelijkbaar met het patroon dat te vinden is in het framework van Kopper en Westner (2016). Zij vinden ‘shortcomings of IT systems’ in 46% van de literatuur en vervolgens ‘high IT user competence’ in slechts 17% van de literatuur.
Wat verder opvalt is dat recente literatuur oorzaken bevat die niet of nauwelijks voorkomen in door Kopper en Westner (2016) gebruikte literatuur. Een voorbeeld hiervan is ‘leader support’, een oorzaak die in het framework door Kopper en Westner (2016) in slecht 2% van de artikelen voorkomt en in tabel 2 in 19% van de onderzoeken.
Ten slotte worden in recente literatuur oorzaken genoemd die voor 2015 helemaal niet worden genoemd, zoals ‘cloud computing’ (19%), ‘cost pressure’ (19%) en ‘peer pressure’ (19%). Dit duidt aan dat onderzoekers in recente literatuur tot nieuwe inzichten zijn gekomen omtrent de oorzaak van Shadow IT en dat er verschuivingen plaatsvinden in hoe vaak oorzaken genoemd worden.
4.6.2.2 Consequenties
Ook in consequenties is overlap te zien in tabel 2 en het framework van Kopper en Westner (2016). Wel wordt hierin nog duidelijker dat er in recente literatuur meer over consequenties van Shadow IT wordt gesproken dan in literatuur gebruikt door Kopper en Westner (2016). Waar in tabel 2 de percentages waarin over ‘productivity gain’ (88%), ‘innovation increase’ (69%), ‘security risks’ (69%), ‘data inconsistencies’ (56%), ‘loss of control’ (31%) en ‘inefficiencies’ (19%) gesproken wordt relatief hoog liggen, liggen deze bij Kopper en Westner (2016) relatief laag: ‘productivity gain’ (14%), ‘innovation increase’ (10%), ‘security risks’ (13%), ‘data inconsistencies’ (8%), ‘loss of control’ (12%), ‘inefficiencies’ (6%). Er kan dus worden gesteld dat consequenties van Shadow IT meer aan bod komen in recente literatuur, maar de thema’s blijven enigszins gelijk.
‘Application integration issues’ (6%) is een consequentie die niet in mijn onderzoek naar voren komt. Dit kan liggen aan de lagere hoeveelheid artikelen die in mijn onderzoek zijn geselecteerd.
16
‘Flexibility increase’ (31%) is een nieuw onderzoeksthema binnen literatuur over Shadow IT. Een mogelijke verklaring hiervoor is dat Kopper en Westner (2016) deze consequentie als ‘productivity gain’ zien, omdat beredeneerd kan worden dat flexibiliteit invloed kan hebben op productiviteit. In mijn onderzoek wordt niet uitgegaan van deze redenering, omdat het thema ‘flexibility increase’ in bepaalde literatuur nadrukkelijk wordt genoemd als consequentie van Shadow IT.
4.6.2.3 Governance methoden
Kopper en Westner (2016) concluderen dat Governance methoden onder gerepresenteerd worden in literatuur over Shadow IT. Zij stellen vast dat ‘continuous control’ (12%) het meest wordt genoemd als governance methode. Los daarvan vinden zij ‘policy setup’ in 3% van de onderzochte literatuur. In tabel 2 zijn deze twee termen samengevoegd tot ‘policy setup & control’ (56%), omdat deze governance methoden in de geselecteerde literatuur ook samen worden genoemd. Dit verschil in terminologie tussen de twee onderzoeken maakt een vergelijking moeilijker. Andere overeenkomende governance methoden worden ook relatief vaker gerepresenteerd in tabel 2: ‘ownership transfer to IT’ (44% tegenover 10%), ‘ownership legitimization’ (38% tegenover 10%), (‘identification of Shadow IT’ (31% tegenover 10%) en ‘awareness training’ (31% tegenover 6%). Er kan dus gesteld worden dat governance methoden in recente literatuur niet meer onder gerepresenteerd worden.
Onderzoeksthema’s uit Kopper en Westner die niet voorkomen in tabel 2 zijn ‘categorization of Shadow IT’ (10%) en ‘IT systems gap identification and resolution’ (6%). Opnieuw kan dit komen door de lagere hoeveelheid geselecteerde artikelen in mijn onderzoek.
‘Risk management’ (25%) en ‘encouragement’ (19%) uit tabel 2 zijn onderzoeksthema’s die niet voorkomen in het onderzoek van Kopper en Westner (2016). Dit laat zien dat er ontwikkelingen zijn binnen literatuur over het omgaan met Shadow IT. Vooral aanmoediging van Shadow IT is een interessante insteek om met Shadow IT om te gaan doordat literatuur in het onderzoek van Kopper en Westner (2016) zelden een positieve houding (4%) heeft tegenover Shadow IT. Dit percentage lijkt in recente literatuur dus groter te worden.
17
5 Conclusie
5.1 Bevindingen
In recente literatuur (augustus 2015 - juni 2018) wordt vaker een mixed method
onderzoeksopzet gehanteerd. Ook zijn er nieuwe oorzaken en nieuwe governance methoden voor Shadow IT vastgesteld sinds het onderzoek van Kopper en Westner (2016). Of verschillen in
onderzoeksthema’s een ontwikkeling binnen Shadow IT zelf betekend of een ontwikkeling binnen het onderzoek naar Shadow IT is discutabel. Een mogelijke verklaring kan zijn dat een mixed method aanpak tot andere onderzoeksthema’s leidt dan kwantitatieve, kwalitatieve en non-empirische onderzoeksopzetten doen.
Een aantal door Kopper en Westner (2016) vastgestelde oorzaken en governance methoden van Shadow IT zijn niet naar voren gekomen in mijn onderzoek. Wel zijn de hoeveelheden oorzaken en consequenties gestegen. Het lijkt er op dat recent onderzoek minder negatief en overwegend positiever tegenover Shadow IT staat. Er worden zowel positieve als negatieve consequenties van Shadow IT ervaren en regelmatig worden oplossingen genoemd waarbij deze positieve
consequenties gewaarborgd blijven.
Kopper en Westner (2016) gaven in hun onderzoek aan dat er minder aandacht naar de consequenties van Shadow IT als naar de oorzaken van Shadow IT gaat en dat governance methoden onder gerepresenteerd worden. Deze constatering geldt niet voor literatuur gepubliceerd tussen augustus 2015 en juni 2018. Vooral consequenties, maar ook governance methoden worden vaak genoemd in literatuur. Productiviteitswinst is met een aanwezigheid van 88% bijvoorbeeld het meest voorkomende onderzoeksthema en ook beleidsinstelling & controle is met 56% vrij aanwezig.
5.2 Beperkingen
Bij de bevindingen zijn enkele kanttekeningen te plaatsen. In een groot deel van de geselecteerde onderzoeken is niet duidelijk gespecificeerd welke data-analyse methode
onderzoekers hanteren. Hetzelfde is in 2016 vastgesteld door Kopper en Westner. Hierdoor konden hier geen conclusies aan worden verbonden.
In mijn onderzoek is ervoor gekozen om andere codes te gebruiken dan die in het onderzoek van Kopper en Westner (2016). Dit is een mogelijke verklaring voor verschillen in resultaten.
In tegenstelling tot het onderzoek van Kopper en Westner (2016) zijn de vastgestelde codes in mijn onderzoek niet opnieuw gecodeerd door een tweede auteur. Hierdoor is de betrouwbaarheid van de resultaten mogelijk lager.
De zoekresultaten van mijn onderzoek zijn beperkt tot gratis te verkrijgen artikelen en databases waar studenten van de Universiteit van Amsterdam gratis toegang toe krijgen. Als er budget zou zijn voor mijn onderzoek zou het aantal te selecteren artikelen groter worden en zou de selectie alleen bestaan uit peer reviewed artikelen. Dit zou de implicaties van mijn onderzoek vergroten en de beperkingen verkleinen.
Er wordt op jaarbasis weinig gepubliceerd over Shadow IT. Als er meer publicaties waren verschenen tussen augustus 2015 en juni 2018, of als het onderzoek over een grotere tijdspanne zou worden gedaan, zou dit het aantal geselecteerde artikelen vergroten. Dit zou bijdragen aan de implicaties van het onderzoek.
18
5.3 Vervolgonderzoek
Om valide resultaten te produceren moeten onderzoekers specifieker zijn in hun data-analyse methode.
Vervolgonderzoek zou mijn onderzoek kunnen valideren en uitbreiden tot een groter aantal artikelen. Daarnaast zou het onderzoek periodiek aangevuld of herhaald kunnen worden om de actualiteit van de resultaten te waarborgen.
Bepaalde onderzoeksthema’s in dit onderzoek lijken verband te hebben. ‘Low technical complexity’ lijkt gepaard te gaan met ‘cloud computing’. ‘Management support’ lijkt een onderdeel van ‘peer pressure’ te zijn. Deze verbanden zijn echter niet terug te vinden in tabel 2. ‘Policy setup’ en ‘continuous control’ (Kopper & Westner, 2016) zijn in dit onderzoek al samengevoegd tot ‘policy setup & control’. Onderzoekers zouden deze verbanden dieper kunnen onderzoeken.
Mijn onderzoek biedt slecht een overzicht van oorzaken, consequenties en governance methoden van Shadow IT. Vervolgonderzoek zou kunnen uitwijzen welke onderzoeksthema’s het belangrijkste zijn en hoe organisaties kunnen achterhalen welke onderzoeksthema’s voor hen belangrijk zijn.
19
6 Literatuur
Behrens, S. (2009). Shadow systems: The good, the bad and the ugly. Communications of the ACM, 52(2), 124-129.
Creswell, J. W. (2009). Research Design.
Györy, A. A. B., Cleven, A., Uebernickel, F., & Brenner, W. (2012, June). Exploring the shadows: IT governance approaches to user-driven innovation. Association for Information Systems.
Kopper, A., & Westner, M. (2016). Deriving a framework for causes, consequences, and governance of shadow it from literature. MKWI 2016 Proceedings, 1687-1698.
Kopper, A., & Westner, M. (2016). Towards a taxonomy for shadow IT.
Silic, M., & Back, A. (2014). Shadow IT–A view from behind the curtain. Computers & Security, 45, 274-283.
6.1 Catalogue Plus
Davison, R. M., & Ou, C. X. (2018). Subverting organizational IS policy with feral systems: a case in China. Industrial Management & Data Systems, 118(3), 570-588.
Elo, S., & Kyngäs, H. (2008). The qualitative content analysis process. Journal of advanced nursing, 62(1), 107-115.
Haag, S., & Eckhardt, A. (2017). Shadow IT. Business & Information Systems Engineering, 59(6), 469-473.
Huber, M., Zimmermann, S., Rentrop, C., & Felden, C. (2016). The Relation of Shadow Systems and ERP Systems—Insights from a Multiple-Case Study. Systems, 4(1), 11.
Lund-Jensen, R., Azaria, C., Permien, F. H., Sawari, J., & Bækgaard, L. (2016). Feral Information Systems, Shadow Systems, and Workarounds–A Drift in IS Terminology. Procedia Computer Science, 100, 1056-1063.
Myers, N., Starliper, M. W., Summers, S. L., & Wood, D. A. (2017). The impact of shadow IT systems on perceived information credibility and managerial decision making. Accounting Horizons, 31(3), 105-123.
Silic, M., Barlow, J. B., & Back, A. (2017). A new perspective on neutralization and deterrence: Predicting shadow IT usage. Information & management, 54(8), 1023-1037.
Silic, M., Silic, D., & Oblakovic, G. (2016). Influence of Shadow IT on Innovation in Organizations. Spierings, A., Kerr, D., & Houghton, L. (2017). Issues that support the creation of ICT workarounds: towards a theoretical understanding of feral information systems. Information Systems Journal, 27(6), 775-794.
Walterbusch, M., Fietz, A., & Teuteberg, F. (2017). Missing cloud security awareness: investigating risk exposure in shadow IT. Journal of Enterprise Information Management, 30(4), 644-665.
Zimmermann, S., Rentrop, C., & Felden, C. (2016). A Multiple Case Study on the Nature and Management of Shadow Information Technology. Journal of Information Systems, 31(1), 79-101.
6.2 Association for Information Systems Electronic Library (AISeL)
Furstenau, D., Rothe, H., Sandner, M., & Anapliotis, D. (2016). Shadow IT, risk, and shifting power relations in organizations.
6.2.1 Backward reference search
Haag, S., Eckhardt, A., & Bozoyan, C. (2015). Are shadow system users the better IS users?– insights of a lab experiment.
Mallmann, G., & Maçada, A. C. (2016). Behavioral Drivers Behind Shadow IT and Its Outcomes in Terms of Individual Performance.
20
Zimmermann, S., Rentrop, C., & Felden, C. (2016). Governing identified shadow IT by allocating IT task responsibilities.
6.2.2 Forward reference search
Kopper, A. (2017). Perceptions of IT managers on shadow IT.
Steinhueser, M., Waizenegger, L., Vodanovich, S., & Richter, A. (2017). Knowledge Management without Management - Shadow IT in Knowledge-Intensive Manufacturing Practices.
21
7 Appendix
7.1 Overige resultaten
23
7.1.2 Onderzoeksthema’s
7.1.2.1 Andere oorzaken
Lack of awareness (2 artikelen, 13%)
Het gebrek aan bewustzijn is ook een genoemde oorzaak van Shadow IT. Door dat veel Shadow IT gebruikers zich niet bewust zijn van het IT beleid en de (juridische) risico’s van Shadow IT kan dit veel negatieve consequenties met zich meebrengen (Walterbusch et al., 2017). Zimmermann et al. (2016) noemen het gebrek aan transparantie binnen bedrijven, wat zorgt voor een gebrek aan bewustzijn onder Shadow IT gebruikers.
Distant business-IT relationship (2 artikelen, 13%)
De afstandelijke relatie tussen business en IT binnen veel bedrijven wordt als oorzaak genoemd voor shadow IT (Davison & Ou, 2018). Deze reden wordt beschreven als belangrijke drive door deelnemers aan het onderzoek van Furstenau et al. (2016).
Lack of restrictions (2 artikelen, 13%)
Een gebrek aan regels over IT (Walterbusch et al., 2017) en het gebrek aan het controle (Zimmermann et al., 2016a) worden als oorzaak van Shadow IT aangehaald in recente literatuur.
Surplus of restrictions (2 artikelen, 13%)
In plaats van een gebrek aan regels over IT kan ook een overschot aan regels de oorzaak van Shadow IT zijn (Walterbusch et al., 2017). Een strikt social media beleid bij een Chinese hotelketen zorgt bijvoorbeeld voor het gebruik ervan (Davison & Ou, 2018). In dit geval worden beperkingen gelegd op communicatiemiddelen die vereist worden door partners.
7.1.2.2 Andere consequenties
Superior quality (2 artikelen, 13%)
Als werknemers Shadow IT implementeren, krijgen zij een superieur inzicht in data en processen, wat kan leiden tot in het maken van betere beslissingen (Myers et al., 2017) en dus hogere kwaliteit (Walterbusch et al., 2017).
Dependencies (2 artikelen, 13%)
Shadow IT systemen kunnen afhankelijk zijn van slechts één persoon (Furstenau et al., 2016). ERP systemen kunnen zowel in functionaliteit als in data afhankelijk zijn van Shadow IT (Huber et al., 2016).
Information credibility decrease (1 artikel, 6%)
Deelnemers aan het onderzoek van Myers et al. (2017) gaven een verlaging in informatie geloofwaardigheid aan bij rapporten geproduceerd door Shadow IT tegenover rapporten niet geproduceerd door Shadow IT.
No backups (1 artikel, 6%)
Doordat Shadow IT niet geïntegreerd zijn in beveiligingssystemen, worden er geen periodieke back-ups van de data bewaard (Walterbusch et al., 2017).
7.1.2.3 Andere governance methoden
IT systems gap resolution (2 artikelen, 13%)
‘IT systems gap resolution’ gedaan worden door nieuwe functionaliteiten en software toe te voegen (Walterbusch et al., 2017), en de onderliggende redenen aan te pakken (Kopper, 2017).
24
‘Identification’ uit Kopper en Westner (2017) is apart gelaten omdat deze ook apart genoemd wordt in de gebruikte literatuur.
Compromise (1 artikel, 6%)
Een compromis kan gesloten worden om Shadow IT uit de schaduw te halen zonder de organisatie te schaden (Walterbusch et al., 2017).
