Wartość dla całego biznesu
- 16.11.2010
IT Governance wiąże się coraz wyraźniej z kwestiami i instytucjami ładu korporacyjnego obejmującego całą organizację.
Cele, które stawiają przed IT Governance jego twórcy, komentatorzy i praktycy, to wnoszenie, w sposób czytelny, wartości dla całego biznesu. Środkiem do celu jest m.in. ujęcie dyscypliny w szerszym aspekcie, konglomeracie kwestii z triady GRC: governance-risk-compliance. A jak wygląda upowszechnienie takiego podejścia w praktyce?
Wolne Miasto IT
Odsetek europejskich ? rm które muszą wypełniać poszczególne regulacje prawne
W sieci praw
Według badania GMG Insights, opublikowanego przed dwoma laty, rośnie liczba regulacji, które uwzględniać muszą w swojej działalności firmy. Dotyczy to w szczególności firm rozwijających się, dążących do wchodzenia na nowe rynki. Dla przykładu, 30% ujętych w badaniu firm europejskich musiało spełniać wymagania określone w południowoafrykańskim King Report, a 28% firm ze Stanów Zjednoczonych - japońskie J-SOX. Nie oznacza to bynajmniej, choć ryzyko niewypełnienia regulacji jest wysokie, że firmy dostosowują się do tego obowiązku. Na przykład w omawianym badaniu, spośród firm kwalifikujących się do wypełnienia danych regulacji, wymagania SoX spełnia 89% zobowiązanych amerykańskich do tego firm-respondentów i odpowiednio zaledwie 54% europejskich. Z kolei w wypadku Basel II jest to odpowiednio 83% i 64%. Nawiasem mówiąc, SoX została wskazana jako regulacja, której wypełnienie kosztuje najwięcej, ma największy wpływ na organizację IT i cały biznes (odpowiednio 38%, 35% i 34% wskazań respondentów).
Kim są biegli w IT GRC?
Badanie opublikowane przez Enterprise Management Associates (EMA) sprzed 2 lat sugerowało, że IT Governance wiąże się coraz wyraźniej z kwestiami i instytucjami ładu korporacyjnego, obejmującego całą organizację. Do najważniejszych niedociągnięć zaliczano brak strategii ochrony informacji, ale także właśnie brak zainteresowania członków rady nadzorczej i zarządu zagadnieniami IT GRC (dostrzeżony przez 29% respondentów). Braku postępów w tej ostatniej sprawie dowodzi przytoczony na początku raport Forrestera. Zadania specyficzne dla IT GRC najlepiej wypełniały firmy, w których stosowano dobre praktyki z zakresu IT SM, w szczególności kontrolę konfiguracji, monitorowanie i odpowiadanie na incydenty oraz dostrzeganie biznesowych priorytetów.
Badanie GMG Insight dodatkowo uściśla nam tę demografię. Według tego oszacowania, około 15% najbardziej dojrzałych w tym względzie firm to z reguły wielkie, globalne organizacje, które poddawane są średnio 49 specyficznym wymogom regulacyjnym, o najwyższym stopniu upowszechnienia standardów dobrych praktyk, wynajmujące do sprostania wymogom prawnym zewnętrznych specjalistów lub kancelarie, w których centralizacja zarządzania IT przejawia się w tym, że 81% wskaźników kontrolnych służy raportowaniu na potrzeby wielu regulacji, posiadające częściowo zautomatyzowane procesy biznesowe.
W świetle ewolucji IT Governance w stronę całościowego podejścia do miejsca i zadań IT, w stronę IT GRC, rodzi się zarazem pytanie, czy dojrzałość pod względem IT Governance pomaga w sposób automatyczny realizować, przekładać ową biegłość na wsparcie wyniku biznesowego, budowanie wartości dla biznesu? Intuicja pozwala przypuszczać, że tak właśnie jest.