Niewiele jest firm, które w codziennej pracy nie wykorzystują technologii informatycznych. Wsparcie procesów biznesowych systemami informatycznymi wprowadza nowe, dotychczas nie istniejące rodzaje ryzyka, którymi trzeba zarządzać.

W tym celu powstała nowa dziedzina, jaką jest nadzór informatyczny (ang. IT governance), zwany także ładem informatycznym. Stanowi on integralny komponent ładu korporacyjnego.

Zobacz również:

• 9 cech wielkich liderów IT
• CIO "bumerangi": liderzy IT awansują, powracając
• 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

IT governance

Kluczowe zagadnienia z obszaru nadzoru informatycznego obejmują strategię IT, dostarczanie wartości, zarządzanie ryzykiem, zarządzanie zasobami oraz pomiar wydajności1.

Tak jak w przypadku ładu korporacyjnego podstawowym celem nadzoru informatycznego jest maksymalizacja korzyści i wartości organizacji wynikających z posiadanych zasobów (w tym informacji) przy założeniu ograniczonej ekspozycji na rodzaje ryzyka wynikające z wykorzystania technologii.

Na nadzór informatyczny składają się struktury organizacyjne oraz procesy zarządzania, które tworzą spójny i skutecznie działający system kontroli wewnętrznej.

Jak wdrożyć IT governance?

Wdrożenie nadzoru informatycznego nie jest zadaniem łatwym. Projektując sam proces wdrożenia, należy sięgać do wypracowanych i sprawdzonych rozwiązań. Istniejące standardy w zakresie IT governance są na tyle elastyczne, że pozwalają dostosować sposób i zakres wdrożenia do organizacji niemalże każdej wielkości. Doskonałym przykładem standardów dostarczających odpowiedniej wiedzy na temat nadzoru informatycznego są opracowane przez IT Governance Institute i promowane przez ISACA standardy COBIT 4.1 i Val IT. Aby ułatwić korzystanie z tych standardów, opracowany został dokument "IT Governance Implementation Guide"2, który stanowi przewodnik wdrożeniowy nadzoru informatycznego. Materiał zawiera zbiór wskazówek, jak powinny wyglądać zasady IT governance, ale przede wszystkim mapę drogową do IT governance. Dokumentowi towarzyszy zestaw przykładowych narzędzi w postaci kwestionariuszy diagnostycznych, arkuszy samooceny oraz zbiór przykładowych prezentacji.

Mapa drogowa do IT governance

Odpowiednie zaplanowanie wdrożenia nadzoru informatycznego istotnie podnosi szanse sukcesu. Dlatego też zalecane jest opracowanie spójnego systemu kontroli wewnętrznej na podstawie sprawdzonego podejścia modelowego, np. mapy drogowej do IT governance. Propozycja takiej mapy drogowej jest zawarta we wspomnianym przewodniku wdrożeniowym nadzoru informatycznego.

Proces wdrożenia nadzoru informatycznego to pięciofazowy projekt, w którym każda faza podzielona jest na szczegółowe etapy.

Faza 1. Identyfikacja potrzeb

Celem tej fazy jest określenie potrzeb i oczekiwań co do nadzoru informatycznego, zgłaszanych przez najważniejsze grupy interesariuszy (zarząd, kierownictwo biznesowe, kierownictwo IT, audyt i zarządzanie ryzykiem). Pierwszym etapem w procesie identyfikacji potrzeb jest podniesienie świadomości i zaangażowanie kierownictwa. Ma to na celu ujednolicenie zrozumienia uwarunkowań, w jakich przebiegał będzie proces wdrożenia, uzgodnienie studium przypadku oraz uzyskanie deklaracji zaangażowania głównych stron w procesie wdrożenia. W celu skutecznej integracji rezultatów projektu na tym etapie należy wziąć pod uwagę istniejące strategie, polityki, plany biznesowe itp.

Do najważniejszych zadań tego etapu należą:

• podniesienie świadomości kierownictwa dotyczącej znaczenia informatyki w biznesie oraz wartości nadzoru informatycznego;
• zrozumienie czynników biznesowych wpływających na potrzebę wdrożenia nadzoru informatycznego, tj. dostarczanie wartości, optymalizacja kosztów, zarządzanie ryzykiem;
• integracja IT governance z ładem korporacyjnym, istniejącą strategią i politykami;
• zdefiniowanie polityki i celów nadzoru informatycznego;
• uzgodnienie zakresu, oczekiwanych korzyści, celów oraz ogólnego podejścia do nadzoru;
• opracowanie studium przypadku, w tym identyfikacja czynników sukcesu pozwalających na monitorowanie wdrożenia oraz ocenę skuteczności usprawnień;
• uzyskanie budżetu, wskazanie sponsora projektu oraz osób odpowiedzialnych za przedsięwzięcie;.
• określenie struktury projektowej, ról i odpowiedzialności poszczególnych osób.

Kolejnym etapem jest zdefiniowanie zakresu wdrożenia. Oto główne komponenty tego etapu:

• zrozumienie celów biznesowych i wpływu informatyki na ich realizację;
• zdefiniowanie celów dla informatyki.
• identyfikacja kluczowych procesów i mechanizmów kontrolnych.