Co jest efektywne, a co nie?

Jeśli się myśli o efektywności IT jak o relacji pomiędzy wieloma różnymi wartościami, to zarządzanie nią nie jest sprowadzalne do pogoni za maksymalizacją syntetycznego jej wskaźnika. To jednak nie oznacza, że działań, planów i ich skutków nie można porównywać, a potem rozstrzygać, które są najlepsze. Traktując poszukiwanie efektywności jako unikanie działań nieefektywnych, rozważmy, jak to zrobić.

Wracając do przykładu kontroli dostępu, rozważmy w jego kontekście dwa scenariusze postępowania, których wpływ na ryzyko jest taki sam, ale różnią się istotnie kosztem implementacji i stosowania zabezpieczeń. W takiej sytuacji droższy scenariusz działań należy uznać za nieefektywny.

Zobacz również:

• 9 cech wielkich liderów IT
• CIO "bumerangi": liderzy IT awansują, powracając
• 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

"Właściwa relacja"

Niestety, w praktyce nie jest to takie proste. Zwykle co najmniej część możliwych działań nie daje się przy pomocy tak prostej reguły porównać. Dzieje się tak, gdyż rozważenia wymaga zazwyczaj więcej czynników. Często okazuje się również, że rozwiązanie, które wydaje się złe z perspektywy pewnych wartości (np. kosztu i ryzyka), w szerszym ujęciu (uwzględniając choćby kwestie czasu) staje się efektywne. Poza tym zarówno koszt, jak i ryzyko mają swoją strukturę (np. CAPEX/OPEX, ryzyko w rozbiciu na poszczególne atrybuty bezpieczeństwa informacji). Jeśli się ją uwzględni, to się okaże, że każde działanie jest pod jakimś względem lepsze od pozostałych.

W tej sytuacji kluczowym problemem zarządzających staje się uzyskanie i utrzymanie najlepszej dla organizacji relacji pomiędzy różnymi wartościami składającymi się na ogólną efektywność. Istotą trudności w tym zadaniu jest fakt, że te wartości zwykle są przeciwstawne. Decyzje zapewniające lepszy rezultat w jednym wymiarze (np. kosztów) zwykle skutkują gorszym wynikiem w innym (np. ryzyka). Czy oszczędność kosztów związana z rezygnacją z dodatkowego zabezpieczenia rekompensuje zwiększone ryzyko? Wszystko zależy od tego, jak duże jest ryzyko i jaka jest oszczędność.

Kluczowym problemem jest to, że dobór kryterium jest subiektywny. Osoba odpowiedzialna za bezpieczeństwo informacji może mieć skłonność do eskalacji zabezpieczeń do poziomów paraliżujących ostatecznie niekiedy szanse i sens biznesowy zabezpieczanych działań. Osoba, która za to nie jest odpowiedzialna, może uważać ryzyko za mało istotne kryterium i upierać się przy każdej możliwej oszczędności w tym obszarze.

Próby obiektywizacji decyzji poprzez wyceny wartości niematerialnych jednostkami materialnymi należy traktować ze znaczną ostrożnością.

W takim momencie sprawa wydaje się więc beznadziejna. Ale w tym szaleństwie jest metoda...

IT governance

Odpowiednio przemyślana dystrybucja mocy decyzyjnej oraz odpowiedzialności (zwłaszcza odpowiedzialności za wynik), jest kluczem do osiągania właściwej efektywności IT. Dzięki niej to właśnie te nieuniknione spory i dyskusje wkomponowane zostają w proces decyzyjny i stają się mechanizmem optymalizacji decyzji z uwzględnieniem potrzeb organizacji. Jest to idea, która zasadniczo uznaje fakt, że decyzje i ich kryteria nie poddają się do końca obiektywizacji. Decyzje na każdym poziomie podejmowane są przez ludzi na podstawie ich osądu i doświadczenia, opierając się na ich preferencjach. Nic nie można na to poradzić. Jedyne, co można zrobić, to stworzyć pewne ramy określające sposób podejmowania decyzji, gwarantujące, że wszystkie ważne perspektywy i opinie będą w tym procesie uwzględniane. Jednocześnie konieczne jest zagwarantowanie, że odpowiedzialność za skutki decyzji będzie jasna i jednoznaczna, a prawdopodobieństwo i ewentualne skutki podjęcia niewłaściwych decyzji - ograniczone.

Odpowiednio zaprojektowane i dopasowane do faktycznej kultury i struktury organizacji ramy IT governance służą temu, aby podejmowane decyzje jak najlepiej oddawały to, co jest pożądane dla organizacji. Przytoczony wcześniej przykład służący ilustracji różnicy pomiędzy potrzebami biznesu a potrzebami departamentów biznesowych pokazywał też wpływ, jaki może mieć dystrybucja odpowiedzialności i władzy decyzyjnej na podejmowane działania.

Ogólnie ramy IT governance definiowane są przez pewien zestaw reguł określających dystrybucję oraz granice kompetencji decyzyjnych i odpowiedzialności, a także schematy podejmowania decyzji, nadzoru i komunikacji. Dodatkowo, warto ustalone zakresy odpowiedzialności wspierać przez odpowiednio do nich dobrane systemy motywacji i oceny.

IT governance jest w tej chwili dyscypliną, która wytworzyła istotny zbiór praktyk i wzorców, dotyczących zarówno samej dystrybucji odpowiedzialności, jak i narzędzi kontroli (sterowania) oraz nadzoru działań IT. Co więcej, niektóre z nich przynoszą odpowiedzi na zasygnalizowane tutaj zagadnienia.

Szczególnie godnym uwagi źródłem wiedzy i inspiracji dla stworzenia efektywnie funkcjonującej organizacji IT jest opublikowany w ubiegłym roku przez IT Governance Institute COBIT® w wersji 4.1 (Control Objectives for Information and Related Technology). Znajdziemy tam m.in. nieocenioną pomoc w postaci identyfikacji powiązań pomiędzy działaniami i metrykami stosowanymi w IT a określonymi kategoriami korzyści biznesowych, czy też celów biznesowych organizacji. Jest to oparta na dobrych praktykach wiedza, która wprost adresuje poruszone w pierwszej części artykułu zagadnienie aspektów (wymiarów) efektywności oraz wartości biznesowej IT. Wiedza ta pozwala na demonstrowanie wartości biznesowej działań IT, jak również (co ważniejsze) na sterowanie działaniami IT poprzez cele i zamierzenia biznesowe.

Badania w dziedzinie IT governance (P. Weil, J.W. Ross, IT Governance, How Top Performers Manager IT Decision Rights for Superior Results) identyfikują również ważne wzorce dystrybucji odpowiedzialności i władzy decyzyjnej, dzięki którym przedsiębiorstwa o określonych profilach skutecznie zapewniają efektywność wykorzystania zasobów IT, definiując takie ogólne style, jak: monarchia biznesu, monarchia IT, styl feudalny, federalny, duopol IT oraz anarchię. W praktyce, oczywiście w szczegółach, właściwie każda organizacja potrzebuje ram IT governance dostosowanych do jej skali, kultury i struktury. Niemniej jednak zbadane i opisane style można traktować jako pewne komponenty, których odpowiednie złożenie pozwoli stworzyć ramy właściwe dla konkretnej organizacji.

Podsumowanie

Jak widać, w rozważaniach nad efektywnością IT zatoczyliśmy koło. Zaczynając od problemu dyskusji i konfliktu wokół efektywności IT w przedsiębiorstwie, dochodzimy ostatecznie do wniosku, że właśnie te dyskusje tworzyć powinny istotę zarządzania efektywnością IT. Uporządkowane przez odpowiednio pomyślane ramy IT governance stanowią najlepszą znaną metodę zapewniania właściwej efektywności IT w organizacji. Jak zwykle w takich wypadkach nie ma jednej recepty, jak taki porządek powinien wyglądać. Niemniej jednak dyscyplina IT governance ma już istotny i pomocny dorobek, pozwalający na wdrażanie odpowiednich mechanizmów z rozsądnym poziomem przekonania o ich skuteczności. .CIO

Autor jest konsultantem w Infovide-Matrix SA.