Wartość dla całego biznesu

IT Governance wiąże się coraz wyraźniej z kwestiami i instytucjami ładu korporacyjnego obejmującego całą organizację.

Cele, które stawiają przed Governance jego twórcy, komentatorzy i praktycy, to wnoszenie, w sposób czytelny, wartości dla całego biznesu. Środkiem do celu jest m.in. ujęcie dyscypliny w szerszym aspekcie, konglomeracie kwestii z triady GRC: governance-risk-compliance. A jak wygląda upowszechnienie takiego podejścia w praktyce?

Wolne Miasto IT

Odsetek europejskich ? rm które muszą wypełniać poszczególne regulacje prawne

Odsetek europejskich ? rm które muszą wypełniać poszczególne regulacje prawne

Firma Forrester opublikowała pod koniec kwietnia br. raport poświęcony kwestiom IT Governance. Najważniejsza obserwacja najwyraźniej dotyczy ulokowania odpowiedzialności za kwestie IT Governance (co też podkreślono w tytule tejże publikacji). Rzecz sprowadza się do tego, że ład i zarząd IT - kwestie, które wyrosły na gruncie ogólnych, wewnętrznych kodeksów ładu korporacyjnego, obejmującego całą organizację i z tejże inspiracji, a zarazem coraz silniej wiązane są w dyskursie z całościowymi, wspólnymi dla całej firmy problemami ładu, ryzyka i zgodności z prawem i regulacjami (triada: governance, risk, compliance), w świetle ustaleń Forrestera pozostają w dyspozycji szefów IT. Nie ciała sprawującego pieczę nad cała firmą, a więc rady nadzorczej, ale w myśl słów "sam sobie sterem, okrętem, żeglarzem" - w rękach CIO. Według oceny Forrestera, przyczynia się to do wyobcowania IT w firmie, przydania mu egzotycznych atrybutów Wolnego Miasta IT. Z ciekawszych komentarzy, które ten raport sprowokował, warto przytoczyć słowa amerykańskiego komentatora CIO Magazine, Toma Wailguma, który skwitował to następująco: "trzy razy upewniłem się co do daty publikacji raportu IT Should Not Own IT Governance. Wydawało mi się, że tytułowe zalecenie jest tak oczywiste jak: nie dotykać ostrza kosiarki podczas pracy silnika urządzenia, i zostało w firmach uprawomocnione i wdrożone przed laty".

W sieci praw

Według badania GMG Insights, opublikowanego przed dwoma laty, rośnie liczba regulacji, które uwzględniać muszą w swojej działalności firmy. Dotyczy to w szczególności firm rozwijających się, dążących do wchodzenia na nowe rynki. Dla przykładu, 30% ujętych w badaniu firm europejskich musiało spełniać wymagania określone w południowoafrykańskim King Report, a 28% firm ze Stanów Zjednoczonych - japońskie J-SOX. Nie oznacza to bynajmniej, choć ryzyko niewypełnienia regulacji jest wysokie, że firmy dostosowują się do tego obowiązku. Na przykład w omawianym badaniu, spośród firm kwalifikujących się do wypełnienia danych regulacji, wymagania SoX spełnia 89% zobowiązanych amerykańskich do tego firm-respondentów i odpowiednio zaledwie 54% europejskich. Z kolei w wypadku Basel II jest to odpowiednio 83% i 64%. Nawiasem mówiąc, SoX została wskazana jako regulacja, której wypełnienie kosztuje najwięcej, ma największy wpływ na organizację IT i cały biznes (odpowiednio 38%, 35% i 34% wskazań respondentów).

Kim są biegli w IT GRC?

Badanie opublikowane przez Enterprise Management Associates (EMA) sprzed 2 lat sugerowało, że IT Governance wiąże się coraz wyraźniej z kwestiami i instytucjami ładu korporacyjnego, obejmującego całą organizację. Do najważniejszych niedociągnięć zaliczano brak strategii ochrony informacji, ale także właśnie brak zainteresowania członków rady nadzorczej i zarządu zagadnieniami IT GRC (dostrzeżony przez 29% respondentów). Braku postępów w tej ostatniej sprawie dowodzi przytoczony na początku raport Forrestera. Zadania specyficzne dla IT GRC najlepiej wypełniały firmy, w których stosowano dobre praktyki z zakresu IT SM, w szczególności kontrolę konfiguracji, monitorowanie i odpowiadanie na incydenty oraz dostrzeganie biznesowych priorytetów.

Badanie GMG Insight dodatkowo uściśla nam tę demografię. Według tego oszacowania, około 15% najbardziej dojrzałych w tym względzie firm to z reguły wielkie, globalne organizacje, które poddawane są średnio 49 specyficznym wymogom regulacyjnym, o najwyższym stopniu upowszechnienia standardów dobrych praktyk, wynajmujące do sprostania wymogom prawnym zewnętrznych specjalistów lub kancelarie, w których centralizacja zarządzania IT przejawia się w tym, że 81% wskaźników kontrolnych służy raportowaniu na potrzeby wielu regulacji, posiadające częściowo zautomatyzowane procesy biznesowe.

W świetle ewolucji IT Governance w stronę całościowego podejścia do miejsca i zadań IT, w stronę IT GRC, rodzi się zarazem pytanie, czy dojrzałość pod względem IT Governance pomaga w sposób automatyczny realizować, przekładać ową biegłość na wsparcie wyniku biznesowego, budowanie wartości dla biznesu? Intuicja pozwala przypuszczać, że tak właśnie jest.