Czy nadzór informatyczny jest potrzebny?

Potencjał związany z wykorzystaniem technologii informatycznych pozwala na osiąganie niespotykanych dotychczas wyników i realizacji przedsięwzięć, które kiedyś były nieosiągalne. Od wielu lat informatyka jest głównym komponentem większości firm, który stanowi o ich sukcesie, pozwala zbudować przewagę konkurencyjną i zwiększyć produktywność. Obecnie informatyka ma fundamentalne znaczenie dla zarządzania zasobami przedsiębiorstwa, obsługę dostawców i klientów, realizację transakcji w zglobalizowanym środowisku, a przy tym stanowi unikalną platformę rejestrowania i analizy informacji biznesowej. Wykorzystanie technologii informatycznych przesunęło istotnie ciężar budowania wartości opartej na majątku i aktywach trwałych w kierunku informacji i korzyści z jej posiadania. Wszystko to powinno być oczywiste dla nowoczesnego menedżera, ale czy równie oczywisty jest fakt pojawienia się nowych, niewystępujących dotychczas rodzajów ryzyka związanych z wykorzystaniem technologii?

Postępujący stopień technologizacji biznesu wymaga zrozumienia czynników, które oprócz korzyści z tego płynących mogą oddziaływać na biznes. Wielu członków zarządów koncentruje się na strategii i różnych rodzajach ryzyka biznesowego, nie poświęcając odpowiedniej ilości czasu informatyce. Dzieje się tak, mimo że IT pociąga za sobą ogromne inwestycje i związane z nimi ryzyko. Pośród wielu powodów, dla których tak się dzieje, można wskazać m.in. niechęć do zagłębiania się w technologię, stopień złożoności dziedziny, jaką jest informatyka, zakorzenienie w tradycyjnym modelu, w którym IT stanowi jednostkę odrębną od biznesu. Założenia modelu nadzoru informatycznego określają zupełnie inną rolę IT w organizacji. IT jest integralną częścią biznesu, a jego przedstawiciele nie tylko są świadomi kierunku rozwoju technologii w firmie, ale również podejmują kluczowe decyzje z nim związane. Jak to jest możliwe? Dzięki zarządzaniu informatyką na dokładnie takich samych zasadach jak dowolnie innym procesem biznesowym, tj. poprzez cele, zasoby i ryzyko. Doskonałym źródłem informacji na ten temat jest IT Governance Institute (www.itgi. org) oraz Information Systems Audit and Control Association ( www.isaca.org ). Wystarczy sięgnąć do podstawowego dokumentu opisującego zasady nadzoru informatycznego, jakim jest „Board Briefing on IT Governance, 2nd Edition”, żeby przekonać się, że nie taki diabeł straszny, jak go malują.

Zobacz również:

• 9 cech wielkich liderów IT
• CIO "bumerangi": liderzy IT awansują, powracając
• 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

Orientacja na budowanie wartości z wykorzystaniem dostępnych zasobów, przy ograniczaniu ekspozycji na istniejące ryzyko pozwala na osiągnięcie wielu korzyści. Przykładowy scenariusz inwestycji w IT i związanych z nią decyzji można prześledzić na podstawie modelu zawartego w standardzie Val IT⁴, który koncentruje się na wartości wynikającej z IT. Wdrożenie spójnego systemu kontroli wewnętrznej, obejmującego ramy podejmowania decyzji oparte na zasadach nadzoru informatycznego, pozwala na stworzenie kompletnego łańcucha kreowania i ochrony wartości firmy. Wartość ta przejawia się nie tylko w inwestycjach zrealizowanych na czas i w ramach przeznaczonego na nie budżetu, ale również w korzyściach płynących ze stworzenia rozwiązań, które odpowiadają na potrzeby biznesu, koszt ich eksploatacji jest adekwatny do założeń, a ciężar utrzymania i wsparcia jest uzasadniony mierzalnymi korzyściami.

Nie tylko dla informatyków

Wdrożenie zasad nadzoru informatycznego przynosi korzyści całej organizacji. Zaletą dla menedżerów IT jest zaangażowanie w proces decyzyjny menedżerów biznesowych. Pozwala to z tych pierwszych zdjąć ciężar odpowiedzialności za nietrafione decyzje i inwestycje IT. Oczywiście, dzieje się to nie bez poświęceń... które sprowadzają się do ograniczenia decyzyjności menedżera IT.

Zaletą jednak najważniejszą dla organizacji jako całości jest przeniesienie IT na zupełnie inny poziom w strukturze i świadome korzystanie z technologii bez ponoszenia ogromnych i czasem nieuzasadnionych kosztów. W każdej firmie menedżerowie szukają odpowiedzi na szereg pytań związanych z informatyką. Członkowie zarządów zastanawiają się, czy IT odpowiednio wspiera biznes i dlaczego powoduje wysokie koszty bez mierzalnych rezultatów. Menedżerowie biznesowi szukają sposobów, jak poprawić jakość, usprawnić obsługę klienta oraz zaoszczędzić czas i pieniądze z wykorzystaniem technologii. Menedżerowie IT walczą o budżety, starając się choć w części dostarczyć biznesowi narzędzi do codziennej pracy. Na koniec audytorzy chcą poznać odpowiedź na pytania: czy systemy są bezpieczne? czy nie wnoszą zbędnego ryzyka do procesów biznesowych? czy są zgodne z wymogami prawa? Trzeba przyznać, że bez odpowiedzi na te pytania można żyć. Tyle tylko, że bez nich nigdy firma nie wykona kolejnego kroku w przód. Każda organizacja bowiem po osiągnięciu pewnego etapu rozwoju musi wprowadzić podejście systemowe do podejmowania decyzji. Pozwala ono na uniezależnienie decyzji od jednostkowych i często subiektywnych ocen i opinii. Na marginesie można dodać, że właśnie opór menedżerów przed zrezygnowaniem z władzy absolutnej i możliwości podejmowania arbitralnych decyzji jest częstym powodem, dla którego firmy nie wdrażają zasad nadzoru informatycznego.

Podstawowe zalety skutecznego wdrożenia nadzoru informatycznego można podsumować w kilku punktach:

• podniesienie świadomości i przejrzystości kosztów, rodzajów ryzyka i korzyści wynikających z decyzji podejmowanych na podstawie kompletnych i wiarygodnych informacji;
• wzrost szans na poniesienie nakładów inwestycyjnych, które zapewniają wysoką zyskowność;
• redukcja kosztów związanych z nietrafionymi decyzjami i korzyść z działań korygujących lub związanych z zaniecha niem inwestycji, które nie spełniają założeń;
• ograniczenie ryzyka niepowodzenia i awarii, zwłaszcza tych o dużym zasięgu;
• eliminacja niespodziewanych kosztów związanych z IT;
• wzrost wartości generowanej przez IT oraz zaufania do technologii.

Jak wdrożyć IT governance?

Wdrożenie nadzoru informatycznego nie jest zadaniem łatwym, ale warto się go podjąć. Podstawowym założeniem do wdrożenia nadzoru informatycznego zakończonego sukcesem jest chęć i wola po stronie zarządu i biznesu. Jeśli organizacja nie wdrożyła zasad ładu korporacyjnego, w który nadzór informatyczny mógłby się wpisać, a przy tym nie ma woli po stronie zarządu, żeby ten stan zmienić, to nawet uzdolniony menedżer IT nie jest w stanie wymóc wdrożenia IT governance. Kolejnym założeniem jest aktywne zaangażowanie menedżerów biznesowych w określanie swoich potrzeb i oczekiwań wobec IT, a przez to wkład w tworzenie strategii IT. Wkład ten jest niezwykle wartościowy, pod warunkiem że potrafi z niego skorzystać szef informatyki, który powinien być zorientowany biznesowo i stanowić pomost pomiędzy światem technologii i biznesu. Spełnienie tych warunków otwiera drogę do usprawnienia organizacji oraz opracowania ram dla nadzoru IT i wdrożenia odpowiednich zasad zarządzania.

Doświadczenia wskazują, że sam proces opracowania i wdrożenia zasad nadzoru informatycznego powinien być poprzedzony ujednoliceniem podejścia do zarządzania w biznesie i IT. Pomóc w tym mogą wspólne warsztaty czy szkolenia, których celem jest wykonanie pierwszego kroku w kierunku zmiany kultury zarządzania. Zmiana ta jest niezwykle istotna, gdyż zrozumienie kluczowych zasad zarządzania z uwzględnieniem ryzyka oraz wpływających na nie czynników stanowi podwaliny pod kolejne etapy procesu wdrożenia. Projektując sam proces wdrożenia, należy sięgać do wypracowanych i sprawdzonych rozwiązań. Istniejące standardy w zakresie IT governance są na tyle elastyczne, że pozwalają dostosować sposób i zakres wdrożenia do organizacji niemalże każdej wielkości. Doskonałym przykładem standardów dostarczających odpowiedniej wiedzy na temat nadzoru informatycznego są opracowane przez IT Governance Institute i promowane przez ISACA standardy COBIT 4.1 i Val IT. Aby ułatwić korzystanie z tych standardów, opracowany został dokument IT Governance Implementation Guide⁵, który stanowi przewodnik wdrożeniowy nadzoru informatycznego. Materiał zawiera zbiór wskazówek, jak powinny wyglądać zasady IT governance, ale przede wszystkim mapę drogową do IT governance. Dokumentowi towarzyszy zestaw przykładowych narzędzi w postaci kwestionariuszy diagnostycznych, arkuszy samoooceny oraz zbiór wybranych prezentacji. Zestaw narzędzi pozwala m.in. na:

• przeprowadzenie pomiaru świadomości kierownictwa;
• pomiar dojrzałości;
• mapowanie procesów, mechanizmów kontrolnych i rodzajów ryzyka;
• zaprojektowanie efektywnego systemu raportowania;
• przeprowadzenie analizy ryzyka dla IT.

Korzystając zarówno ze standardów, jak i przewodnika wdrożeniowego, pamiętać należy, że zawierają one zbiór najlepszych praktyk w zakresie nadzoru informatycznego i wymagają dostosowania do realiów organizacji. Proces wdrożenia z pomocą tych opracowań jest jednak dużo łatwiejszy niż bez nich.

<hr>

Przypisy:

¹ "Adolf Augustus Berle, Edwin Dodd, "The Modern Corporation and Private Property".

² Komitet Dobrych Praktyk, Forum - Corporate Governance, "Dobre praktyki w spółkach publicznych".

³ IT Governance Institute, COBIT 4.1.

⁴ IT Governance Institute, Enterprise Value: Governance of IT Investments - The Val IT Framework.

⁵ IT Governance Institute, IT Governance Implementation Guide 2nd Edition, Using COBIT and Val IT.