Jak wdrożyć IT governance, opierając się na COBIT i Val IT

W każdym z istniejących modeli ładu korporacyjnego określa się zasady, normy i zwyczaje odnoszące się do zarządzania organizacją.

W każdym z istniejących modeli ładu korporacyjnego określa się zasady, normy i zwyczaje odnoszące się do zarządzania organizacją.

Przyświeca im jeden cel: zapewnienie, że kierownictwo określi wiarygodny kierunek strategiczny firmy, a kierunki organizacji realizowane będą z uwzględnieniem towarzyszącemu im ryzyka oraz w sposób odpowiedzialnie wykorzystujący dostępne zasoby.

Zobacz również:



Żyjemy w czasach, w których złożoność procesów zarządzania ogranicza możliwość działania, opierajac się tylko na intuicji i decyzjach podejmowanych przez uzdolnionych menedżerów. Stopień komplikacji procesów decyzyjnych oraz ogrom czynników, jakie należy brać pod uwagę przy ustalaniu strategicznego kierunku firmy, zmusza nas do określenia zasad i ram podejmowania decyzji oraz stworzenia spójnego systemu zarządzania i nadzoru, który zabezpieczy interes właściciela organizacji.

Ład korporacyjny

Historia ładu korporacyjnego (corporate governance) na świecie sięga początków XX wieku. Wielki kryzys na Wall Street w 1929 r. zmusił do na wyciągnięcia wniosków co do roli korporacji w społeczeństwie<sup>1</sup>. Model wówczas zaproponowany ewoluował przez dziesięciolecia, a mimo to w 2000 r. mieliśmy okazję obserwować serię skandali, takich jak upadek Enronu czy WorldComu. Dało to impuls to tego, aby dokonać analizy funkcjonujących zasad działania ośrodków decyzyjnych firm, a także przemodelować zakres obowiązków i odpowiedzialności zarządów oraz rad nadzorczych. Rynek amerykański zareagował legendarną już ustawą Sarbanes-Oxley, a w Polsce nowelizacji poddano dokument "Dobre praktyki w spółkach publicznych" opracowany przez Komitet Dobrych Praktyk, Forum - Corporate Governance<sup>2</sup>. W każdym z istniejących modeli ładu korporacyjnego określa się zasady, normy i zwyczaje odnoszące się do szeroko rozumianego zarządzania organizacją. Przyświeca jeden cel - zapewnienie, że kierownictwo określi wiarygodny kierunek strategiczny, a kierunki organizacji realizowane będą z uwzględnieniem towarzyszącego im ryzyka oraz w sposób odpowiedzialnie wykorzystujący dostępne zasoby. A wszystko po to, żeby zwiększyć przejrzystość procesu zarządzania ryzykiem i chronić wartość przedsiębiorstwa.

Nadzór informatyczny

Niewiele jest firm, które w codziennej pracy nie wykorzystują technologii informatycznych. Wsparcie procesów biznesowych systemami informatycznymi wprowadza nowe, dotychczas nieistniejące rodzaje ryzyka, którymi trzeba zarządzać. W tym celu powstała nowa dziedzina - nadzór informatyczny (IT governance), zwany także ładem informatycznym. Stanowi on integralny komponent ładu korporacyjnego. Najważniejsze zagadnienia z obszaru nadzoru informatycznego obejmują strategię IT, dostarczanie wartości, zarządzanie ryzykiem, zarządzanie zasobami oraz pomiar wydajności<sup>3</sup>. Tak jak w przypadku ładu korporacyjnego, podstawowym celem nadzoru informatycznego jest maksymalizacja korzyści i wartości organizacji wynikających z posiadanych zasobów (w tym informacji) przy założeniu ograniczonej ekspozycji na rodzaje ryzyka wynikające z wykorzystania technologii.

Na nadzór informatyczny składają się struktury organizacyjne oraz procesy zarządzania, które tworzą spójny i skutecznie działający system kontroli wewnętrznej.

Założeniem modelu nadzoru informatycznego jest porzucenie tradycyjnego podejścia do zarządzania informatyką, w którym główne decyzje związane z informatyką pozostawiane są specjalistom IT. Dotychczas pokutowało przekonanie, że informatyka jest wiedzą tajemną, a decyzje z nią związane wymagają odpowiedniej ekspertyzy i znajomości zagadnień technicznych. Nowoczesny model nadzoru informatycznego wprowadza zgoła odmienne zasady. Zgodnie z nimi wszyscy interesariusze, w tym zarząd oraz klienci wewnętrzni (np. dział finansowy), mają wpływ na kierunek rozwoju IT i angażują się w podejmowanie najważniejszych postanowień. Zapobiega to obwinianiu jednego tylko decydenta (najczęściej dyrektora IT) za błędne decyzje, ale również... eliminuje problem użytkownika biznesowego narzekającego, że system nie spełnia jego oczekiwań.

IT governance krok po kroku
1. Ustanowienie struktury organizacyjnej nadzoru informatycznego

Jasna definicja celów, obowiązków i odpowiedzialności wszystkich zaangażowanych stron.

2. Ujednolicenie celów IT z celami biznesowymi

Jakie są główne obszary, na które IT ma największy wpływ, np. ograniczenie kosztów, pozycja konkurencyjna, przejęcie innej firmy. Zrozumienie środowiska biznesowego, skłonności do ryzyka i strategii biznesowej w odniesieniu do IT. Identyfikacja najbardziej istotnych kwestii IT.

3. Identyfikacja i zrozumienie rodzajów ryzyka

Jakie kwestie może rozwiązać IT, mając na uwadze główne niepokoje i obawy kierownictwa. Należy rozważyć: - dotychczasową historię,



  • obecną strukturę organizacyjną IT,


  • złożoność i rozmiar istniejących i planowanych rozwiązań IT,


  • podatność istniejących i planowanych rozwiązań IT na zagrożenia,


  • naturę rozważanych przedsięwzięć IT, np. nowe wdrożenia, outsourcing, zmiany architektury.




4. Wskazanie obszarów wdrożenia

Identyfikacja procesów zarządzania IT, w których zidentyfikowane rodzaje ryzyka odgrywają główną rolę. Model procesów zarządzania IT zawarty jest w COBIT 4.1.

5. Ocena obecnych możliwości i identyfikacja luk

Przeprowadzenie oceny dojrzałości w celu zidentyfikowania obszarów wymagających usprawnienia. Model poziomów dojrzałości zawarty jest w COBIT 4.1.

6. Opracowanie strategii usprawnienia

Nadanie priorytetów poszczególnym projektom oraz wskazanie tych, które usprawnią zarządzanie i nadzór w największym stopniu. Selekcja projektów powinna koncentrować się na realizacji największych korzyści, łatwości wdrożenia, istotnych procesach IT i posiadanych kompetencjach.

7. Pomiar rezultatów

Opracowanie i wdrożenie strategicznej karty wyników w celu pomiaru wydajności i rezultatów działań. Monitorowanie nowych usprawnień z uwzględnieniem co najmniej kwestii:



  • czy struktury organizacyjne wspierają realizację strategii?


  • czy odpowiedzialność za zarządzanie ryzykiem jest wbudowana w procesy zarządzania?


  • czy istnieje infrastruktura, która wspiera powstawanie i dzielenie się najważniejszymi informacjami biznesowymi?


  • czy strategia i cele są znane w organizacji tym, dla których ich znajomość jest istotna dla realizacji zadań i obowiązków?




8. Cykliczne powtarzanie kroków 2 - 7