Jakie są główne obszary, na których skupia się IT governance?

• Dopasowanie strategiczne biznesu i IT. Oba obszary mają wspólnie realizować strategię organizacji. Prawdziwa symbioza biznesu i IT może nastąpić tylko wtedy, gdy obie strony efektywnie komunikują się zarówno w kwestiach planowania oraz kosztów, jak i efektów. Niestety, sporej części przedsiębiorstw brakuje nie tylko zsynchronizowanego planowania rozwoju biznesu i inwestycji informatycznych, ale wręcz jasnych zasad, na których podstawie dokonuje się zakupów IT. W efekcie zdarzają się sytuacje, gdy beneficjentami IT są działy, które mają lepsze "przełożenie polityczne" na decydentów. Takie przedsięwzięcia obciążone są dużym ryzykiem, dotyczącym zadowalającego zwrotu z inwestycji i dopasowania inwestycji IT do rzeczywistych potrzeb organizacji.

• Zwiększanie wartości. Główną miarą wartości IT są dostawy produktów lub świadczenie usług na czas, w założonym budżecie, w odpowiedniej jakości oraz z osiągnięciem zakładanych korzyści, tj. przewagi konkurencyjnej, satysfakcji klientów, przyspieszenia wejścia na rynek, skróconego czasu realizacji zamówień, zwiększonej produktywności pracowników, większej zyskowności. Wartość, którą IT dodaje do biznesu, jest uzależniona od stopnia, w jakim IT jest dopasowane do strategii przedsiębiorstwa. W celu efektywnego zastosowania IT konieczne jest zarządzanie zarówno kosztami, jak i zwrotami z inwestycji. Pomiar efektów biznesowych jest najczęściej dużo trudniejszy niż pomiar efektywności technicznej. Dlatego ważne jest skupianie się nie tylko na miarach finansowych, lecz także branie pod uwagę wpływu IT na efektywność całego przedsiębiorstwa w tworzeniu wartości, zarówno w krótkim, jak i w długim okresie.

Zobacz również:

• 9 cech wielkich liderów IT
• CIO "bumerangi": liderzy IT awansują, powracając
• 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

• Zarządzanie zasobami. Kluczem do wysokiej efektywności IT są optymalne inwestycje oraz jak najlepsze wykorzystanie posiadanych zasobów IT w procesie świadczenia usług dla biznesu. Zarówno nowe inwestycje, jak i wydatki na bieżącą działalność IT muszą być dopasowane do potrzeb wynikających ze strategii przedsiębiorstwa. Wyższy priorytet (i większe zasoby) powinny uzyskiwać inicjatywy o większej wartości dla biznesu. O ile w praktyce przedsiębiorstwa badają jeszcze efektywność nowych inwestycji w IT, o tyle już bardzo rzadko podejmują wysiłki związane z optymalizacją wydatków przeznaczanych na bieżącą działalność IT. Jest to duży błąd, bo jak wskazują badania Gartnera, wydatki na utrzymanie i rozwój obecnych zasobów IT pochłaniają aż 85% środków przeznaczanych na IT. Jednym ze sposobów na bardziej efektywne zarządzanie zasobami jest także zapewniająca większą wydajność organizacja personelu, na przykład zgodnie z umiejętnościami, a nie ze względu na dział biznesu. Umożliwi to organizacjom przekierowanie pracowników w miarę potrzeb do poszczególnych działów.

• Zarządzanie ryzykiem. Zarządzanie ryzykiem IT obejmuje rodzaje ryzyka związane z zastosowaniem technologii informacyjnych w przedsiębiorstwie, m.in. zabezpieczenie zasobów IT, odzyskiwanie danych po awarii czy też zapewnienie ciągłości działania. Aby skutecznie zarządzać ryzykiem IT, kierujący firmą muszą rozumieć, jakie jest nastawienie przedsiębiorstwa do ryzyka, znać wymagania regulacyjne, powinni być świadomi głównych rodzajów ryzyka oraz swojej odpowiedzialności za ryzyko.

• Pomiar wydajności. Pomiar efektywności IT polega na śledzeniu realizacji projektów oraz monitorowaniu procesu świadczenia usług IT. Miary można podzielić na dwie grupy: obiektywne i subiektywne. Obiektywne miary efektywności są łatwe do zmierzenia. Można ich używać do porównań między przedsiębiorstwami. Należą do nich: udział wydatków na IT w przychodach, udział wydatków na działalność operacyjną IT w całości wydatków na IT, wysokość wydatków na IT w przeliczeniu na pracownika, liczba komputerów przypadająca na pracownika, średni czas oczekiwania na połączenie z help deskiem, liczba aplikacji starszych niż trzyletnie, udział kosztów utrzymania oprogramowania w całości wydatków na IT. Dużo istotniejsze są jednak miary subiektywne. Odzwierciedlają oczekiwania wszystkich interesariuszy. Są trudne do pomiaru i nie nadają się do porównań między przedsiębiorstwami. Umożliwiają pomiar potrzeb biznesowych, tj. funkcjonalności, jakości, efektywności kosztowej. Przykładami takich miar są m.in.: odpowiedniość, dostępność, niezawodność, bezpieczeństwo, funkcjonalność, poziom jakości, dopasowanie do potrzeb biznesowych.

Jakie standardy pomogą przy wdrożeniu IT governance?

COBIT - jest prawdopodobnie najpopularniejszym standardem. Jest to w zasadzie zestaw wytycznych oraz narzędzi wspomagających IT governance, akceptowanych na całym świecie. Używany przez biegłych rewidentów oraz firmy jako sposób na integrowanie technologii w celu wprowadzenia kontroli oraz sprostania określonym celom biznesowym. Najnowsza wersja, z maja 2007 r., to COBIT 4.1.

ITIL - Information Technology Infrastructure Library - Biblioteka Infrastruktury Technologii Informacyjnej rządu Zjednoczonego Królestwa, niemal tak popularna jak COBIT. Składa się z ośmiu grup procedur w zarządzaniu w ośmiu osobnych księgach. ITIL to dobry wybór dla organizacji skupionych na operacjach. Najnowsza wersja z 30 maja 2007 r. to ITIL V3.

COSO - ten model oceny kontroli wewnętrznej Committee of Sponsoring Organizations of the Treadway Commission zawiera wytyczne dla wielu funkcji, w tym dla zarządzania zasobami ludzkimi, wewnętrznej i zewnętrznej logistyki, zasobów zewnętrznych, technologii informacyjnej, ryzyka, kwestii prawnych, przedsiębiorstwa, marketingu i sprzedaży, operacji, wszystkich funkcji finansowych, zaopatrzenia oraz sprawozdawczości. Jest to struktura bardziej ogólna, mniej nastawiona na IT niż inne.

CMMI - metoda Capability Maturity Model Integration, stworzona przez grupę przedstawicieli rządu Stanów Zjednoczonych, przemysłu oraz instytutu Carnegie-Mellon's Software Engineering, jest strukturą skupioną na ulepszaniu procesów, obejmującą 22 obszary procesowe. Dzieli się na oszacowanie, wycenę oraz strukturę. CMMI jest szczególnie przydatna organizacjom potrzebującym pomocy w kwestii rozwoju aplikacji, zagadnień dotyczących cyklu życia oraz ulepszenia dostawy produktów w takim cyklu.

Istnieje wiele standardów. Jak wybrać odpowiedni?

Większość firm decyduje się na COBIT lub ITIL, ale nie należy od razu wykluczać pozostałych. ITIL nadaje się do kwestii operacyjnych. CMMI jest odpowiedni dla rozwoju aplikacji oraz zagadnień cyklu życia. COBIT obejmuje kwestie związane z ryzykiem, jest również świetną strukturą zbiorową. Dobrym pomysłem jest łączenie standardów - uważa Ron Saull, członek zarządu IT Governance Institute. Można używać COBIT jako struktury ogólnej, ITIL w operacjach, CMMI w rozwoju oraz ISO 17799 w kwestiach bezpieczeństwa. Łączenie standardów jest dość powszechną praktyką. Według badań przeprowadzonych przez PricewaterhouseCoopers, w 65% przypadków firmy używają COBIT razem z ITIL lub z innymi, mniej znanymi standardami. Najważniejsze jednak, aby używać struktur, które odpowiadają kulturze firmy i które znają udziałowcy firmy.