Wprowadzenie do IT governance

Badania wskazują, że inwestorzy są skłonni zapłacić pokaźną premię za wysoki standard nadzoru korporacyjnego w przedsiębiorstwie. Premia ta waha się średnio od 13% w Ameryce Północnej i w Europie Zachodniej, do 20-25% w Azji i Ameryce Łacińskiej. W Europie Wschodniej i w Afryce premia ta jest jeszcze wyższa.

Badania wskazują, że inwestorzy są skłonni zapłacić pokaźną premię za wysoki standard nadzoru korporacyjnego w przedsiębiorstwie. Premia ta waha się średnio od 13% w Ameryce Północnej i w Europie Zachodniej, do 20-25% w Azji i Ameryce Łacińskiej. W Europie Wschodniej i w Afryce premia ta jest jeszcze wyższa.

Łudzi się ten, kto uważa, że wartościowe inwestycje informatyczne w organizacji pozwalają skutecznie konkurować na rynku. IT nie działa magicznie i posiadanie nawet najnowocześniejszych narzędzi niczego nie przesądza. Aby wykorzystać możliwości, jakie dają technologie informacyjne, konieczne są: strategiczne dopasowanie IT i biznesu, dostarczanie biznesowi wartości przez IT, efektywne wykorzystanie zasobów IT, zarządzanie ryzykiem IT oraz pomiar wydajności IT. Wszystkie te elementy zawierają się w skutecznej i przejrzystej koncepcji IT governance. W nowoczesnej gospodarce jest to temat, którym nie może się interesować wyłącznie CIO; koniecznie powinien go także zgłębić CEO.

Zobacz również:

Czy IT governance rządzi się autonomicznymi prawami?

IT governance nie jest samotną wyspą, jest integralną częścią corporate governance i od zdefiniowania tego drugiego terminu warto zacząć nasze rozważania. Wg Remigiusza Orzechowskiego: "Corporate governance, tłumaczony na język polski jako nadzór korporacyjny lub ład korporacyjny, to najogólniej system, za pomocą którego przedsiębiorstwa są kierowane i kontrolowane. Polskie Forum Corporate Governance definiuje nadzór korporacyjny jako ‘system prawnych i ekonomicznych instytucji (formalnych i nieformalnych reguł działania) służących regulowaniu stosunków kontraktowych pomiędzy wszystkimi podmiotami zaangażowanymi w funkcjonowanie korporacji (akcjonariuszy, kredytodawców, menedżerów, pracowników, dostawców)'. Koncepcja nadzoru korporacyjnego nie jest nowa - mamy z nią do czynienia od czasu, kiedy nastąpiło rozdzielenie funkcji właściciela przedsiębiorstwa i zarządzającego. Pojawił się wówczas problem odmiennych celów, oczekiwań i nastawienia do ryzyka obu stron. Konieczne okazało się stosowanie dodatkowych rozwiązań, które umożliwią właścicielom odpowiednią kontrolę i wpływanie na sposób zarządzania ich majątkiem. Szczególnego znaczenia nadzór korporacyjny nabrał jednak całkiem niedawno, a po głośnych skandalach księgowych w USA i w Europie Zachodniej (m.in. Enron, Worldcom, Parmalat). Od tego czasu właściciele (w tym inwestorzy giełdowi) zwracają szczególną uwagę na to, czy i w jakim zakresie przedsiębiorstwa stosują sformalizowane zasady nadzoru korporacyjnego"1.

Czym więc jest IT governance?

Najprościej mówiąc, jest to taka organizacja strategii IT przedsiębiorstwa, która współgra ze strategią biznesową, zapewniając firmie osiągnięcie jej celów oraz wprowadzając dobre praktyki w mierzeniu wydajności technologii informatycznych. IT governance, jako element corporate governance, czuwa nad tym, aby nie zapomniano o interesach udziałowców, aby procesy biznesowe przynosiły wymierne korzyści oraz aby wszystko to działo się zgodnie z zasadą minimalizowania ryzyka. IT governance jest integralną częścią corporate governance, a nie jedynie wsparciem dla niego. Funkcjonuje kilka definicji IT governance, z których najważniejszą wydaje się firmowana przez ISACA: "IT governance stanowi odpowiedzialność rady nadzorczej i menedżmentu firmy, jest integralną częścią corporate governance, zawierając w sobie elementy przywództwa, struktur i procesów organizacji. Wszystkie te elementy ujęte razem mają zagwarantować, że korporacyjne IT wzmacnia i wzbogaca strategię i cele firmy". Druga, często przytaczana definicja autorstwa P. Weilla i J. Ross stwierdza, że jest to "określenie ram decyzyjnych i dostępności struktury, gwarantujące pożądane zachowania w IT". Trzecia definicja zaś, równie interesująca, Wim Van Grembergena, podaje: "IT governance to koncepcja zarządzania, stosowana przez organizację, ukierunkowana na nadzór nad portfolio IT. IT governance wskazuje zarys dystrybucji decyzji IT, stwarzając prawa i obowiązki dla różnych departamentów w organizacji. Zarządza regułami i procedurami dla tworzenia i monitorowania decyzji w kwestiach strategicznych dla IT".

"Badania przedsiębiorstw ujawniają, że firmy posiadające najbardziej zaawansowane rozwiązania w zakresie nadzoru IT mają o ponad 20% większą rentowność w porównaniu z firmami z tego samego sektora i o podobnych strategiach, które jednak mają słabo rozwinięty nadzór IT. Co więcej, efektywność inwestycji IT w tych pierwszych firmach jest o 40% wyższa. Efektywny nadzór IT w przedsiębiorstwie powinien odpowiadać na trzy podstawowe pytania: jakie decyzje muszą zostać podjęte w celu zapewnienia efektywnego zarządzania i wykorzystania IT? kto powinien podjąć te decyzje? oraz w jaki sposób te decyzje zostaną podjęte i jak będą monitorowane ich efekty?"2

Z czym nie należy mylić IT governance?

Przede wszystkim należy podkreślić, że IT governance nie jest jednostką organizacyjną firmy, z czym często bywa mylony. Nie jest obszarem odpowiedzialności przynależnym wyłącznie departamentowi IT, ani też filozofią zarządzania tym działem. Nie może być także utożsamiany z takimi standardami, jak ITIL czy COBIT, które są metodykami pomocnymi przy wdrażaniu koncepcji IT governance. W obszarze znaczeniowym słowo "governance" nie wskazuje tylko na negatywne obciążenia związane z odpowiedzialnością i kontrolą, ale przede wszystkim wiąże się z czynnikiem pozytywnym, niosąc ze sobą transparentność w podejmowaniu decyzji, kreatywność, poczucie wartości z posiadania pewnej własności, o której można współdecydować.

Komu to jest potrzebne?

Każda organizacja - mała i duża, państwowa i prywatna - potrzebuje sposobu na utrzymanie swoich udziałowców w przekonaniu, że funkcja IT gwarantuje realizację jej strategii i celów. Poziom zaawansowania IT governance jest zależny od wielkości, sektora rynku lub stosowanych w branży przepisów. Im większa i zarządzana w sposób bardziej kontrolowany organizacja, tym bardziej szczegółowej struktury IT governance potrzebuje. Najważniejsze czynniki motywujące do wdrożenia tej koncepcji w życie to między innymi potrzeba zgodności z ciągle wydłużającą się listą przepisów związanych z finansową i technologiczną odpowiedzialnością oraz presja udziałowców i klientów.

Co skłania organizacje do wprowadzenia IT governance?

Organizacje podlegają licznym przepisom, dotyczącym np. przechowywania danych, informacji poufnych, odpowiedzialności finansowej oraz zasad zarządzania ciągłością firmy. Mimo że żadne z powyższych nie wymaga opracowania struktury IT governance, może się okazać, że jest to świetny sposób na zapewnienie zgodności z obowiązującymi firmę przepisami. Przez wdrożenie IT governance zyskuje się wewnętrzną kontrolę, niezbędną do sprostania najważniejszym wytycznym wielu z tych regulacji, takich jak ustawa Sarbanes-Oxley.

Kogo trzeba przekonać?

Aby wdrożenie IT governance odniosło sukces, wszyscy menedżerowie muszą być przekonani, że angażują się w korzystny dla organizacji projekt. Dyrektor IT powinien więc znaleźć właściwych ludzi, którzy wyjaśnią zarządowi wszelkie wątpliwości związane z przedsięwzięciem i jego ideą. Najbardziej efektywny będzie tu zespół składający się z menedżerów IT oraz - w miarę możliwości - menedżerów innych działów. Ich zadaniem będzie wykazanie przed zarządem, że efektywne zarządzanie IT oparte na zasadach IT governance przyczynia się w znacznym stopniu do sukcesu całej firmy. Zespół musi umieć rzetelnie wytłumaczyć, że organizacja potrzebuje swoistej mapy drogowej - czegoś, co podpowie osobom podejmującym decyzje, w którym punkcie firma się znajduje, gdzie musi się znajdować w przyszłości i jak tam dotrzeć w jak najlepszy sposób, wykorzystując IT. Zespół musi również przedstawić najważniejsze korzyści: większą efektywność i odpowiedzialność poszczególnych osób w organizacji, skuteczną kontrolę, a także mniejsze ryzyko funkcjonowania.