Wartość dla całego biznesu
- 16.11.2010
IT Governance wiąże się coraz wyraźniej z kwestiami i instytucjami ładu korporacyjnego obejmującego całą organizację.
Cele, które stawiają przed IT Governance jego twórcy, komentatorzy i praktycy, to wnoszenie, w sposób czytelny, wartości dla całego biznesu. Środkiem do celu jest m.in. ujęcie dyscypliny w szerszym aspekcie, konglomeracie kwestii z triady GRC: governance-risk-compliance. A jak wygląda upowszechnienie takiego podejścia w praktyce?
Wolne Miasto IT
Firma Forrester opublikowała pod koniec kwietnia br. raport poświęcony kwestiom IT Governance. Najważniejsza obserwacja najwyraźniej dotyczy ulokowania odpowiedzialności za kwestie IT Governance (co też podkreślono w tytule tejże publikacji). Rzecz sprowadza się do tego, że ład i zarząd IT - kwestie, które wyrosły na gruncie ogólnych, wewnętrznych kodeksów ładu korporacyjnego, obejmującego całą organizację i z tejże inspiracji, a zarazem coraz silniej wiązane są w dyskursie z całościowymi, wspólnymi dla całej firmy problemami ładu, ryzyka i zgodności z prawem i regulacjami (triada: governance, risk, compliance), w świetle ustaleń Forrestera pozostają w dyspozycji szefów IT. Nie ciała sprawującego pieczę nad cała firmą, a więc rady nadzorczej, ale w myśl słów "sam sobie sterem, okrętem, żeglarzem" - w rękach CIO. Według oceny Forrestera, przyczynia się to do wyobcowania IT w firmie, przydania mu egzotycznych atrybutów Wolnego Miasta IT. Z ciekawszych komentarzy, które ten raport sprowokował, warto przytoczyć słowa amerykańskiego komentatora CIO Magazine, Toma Wailguma, który skwitował to następująco: "trzy razy upewniłem się co do daty publikacji raportu IT Should Not Own IT Governance. Wydawało mi się, że tytułowe zalecenie jest tak oczywiste jak: nie dotykać ostrza kosiarki podczas pracy silnika urządzenia, i zostało w firmach uprawomocnione i wdrożone przed laty".W sieci praw
Według badania GMG Insights, opublikowanego przed dwoma laty, rośnie liczba regulacji, które uwzględniać muszą w swojej działalności firmy. Dotyczy to w szczególności firm rozwijających się, dążących do wchodzenia na nowe rynki. Dla przykładu, 30% ujętych w badaniu firm europejskich musiało spełniać wymagania określone w południowoafrykańskim King Report, a 28% firm ze Stanów Zjednoczonych - japońskie J-SOX. Nie oznacza to bynajmniej, choć ryzyko niewypełnienia regulacji jest wysokie, że firmy dostosowują się do tego obowiązku. Na przykład w omawianym badaniu, spośród firm kwalifikujących się do wypełnienia danych regulacji, wymagania SoX spełnia 89% zobowiązanych amerykańskich do tego firm-respondentów i odpowiednio zaledwie 54% europejskich. Z kolei w wypadku Basel II jest to odpowiednio 83% i 64%. Nawiasem mówiąc, SoX została wskazana jako regulacja, której wypełnienie kosztuje najwięcej, ma największy wpływ na organizację IT i cały biznes (odpowiednio 38%, 35% i 34% wskazań respondentów).
Kim są biegli w IT GRC?
Badanie opublikowane przez Enterprise Management Associates (EMA) sprzed 2 lat sugerowało, że IT Governance wiąże się coraz wyraźniej z kwestiami i instytucjami ładu korporacyjnego, obejmującego całą organizację. Do najważniejszych niedociągnięć zaliczano brak strategii ochrony informacji, ale także właśnie brak zainteresowania członków rady nadzorczej i zarządu zagadnieniami IT GRC (dostrzeżony przez 29% respondentów). Braku postępów w tej ostatniej sprawie dowodzi przytoczony na początku raport Forrestera. Zadania specyficzne dla IT GRC najlepiej wypełniały firmy, w których stosowano dobre praktyki z zakresu IT SM, w szczególności kontrolę konfiguracji, monitorowanie i odpowiadanie na incydenty oraz dostrzeganie biznesowych priorytetów.
Badanie GMG Insight dodatkowo uściśla nam tę demografię. Według tego oszacowania, około 15% najbardziej dojrzałych w tym względzie firm to z reguły wielkie, globalne organizacje, które poddawane są średnio 49 specyficznym wymogom regulacyjnym, o najwyższym stopniu upowszechnienia standardów dobrych praktyk, wynajmujące do sprostania wymogom prawnym zewnętrznych specjalistów lub kancelarie, w których centralizacja zarządzania IT przejawia się w tym, że 81% wskaźników kontrolnych służy raportowaniu na potrzeby wielu regulacji, posiadające częściowo zautomatyzowane procesy biznesowe.
W świetle ewolucji IT Governance w stronę całościowego podejścia do miejsca i zadań IT, w stronę IT GRC, rodzi się zarazem pytanie, czy dojrzałość pod względem IT Governance pomaga w sposób automatyczny realizować, przekładać ową biegłość na wsparcie wyniku biznesowego, budowanie wartości dla biznesu? Intuicja pozwala przypuszczać, że tak właśnie jest.