W trakcie dalszych prac może się okazać, że infrastruktura sieciowa nowego obiektu nie będzie kompatybilna z istniejącymi rozwiązaniami, albo przewidziane rozwiązania wymuszą niepotrzebnie duże zmiany w dotychczasowej sieci. W 79% badanych organizacji specjaliści IT są uwzględniani w budowaniu zespołów projektowych zawsze lub w zależności od zakresu projektu. Najczęściej pełnioną przez nich rolą jest proponowanie rozwiązań informatycznych (67%) oraz przygotowywanie specyfikacji technicznej projektu (63%).

Kto podejmuje decyzje?

Kolejnym, ważnym elementem IT governance jest klarowny podział odpowiedzialności odnośnie podejmowania decyzji dotyczących IT. Najlepsze, światowe modele, przedstawione w publikacjach naukowców Massachusetts Institute of Technology, wskazują na dominujący udział biznesu w kwestii inwestycji IT oraz potrzeb w zakresie aplikacji biznesowych. Z kolei domenami pozostawionymi informatykom są strategie w zakresie architektury i infrastruktury IT. Obszarem, w którym decyzje zapadają w ścisłej współpracy obu stron, są podstawowe zasady funkcjonowania IT.

W Polsce strategiczne decyzje dotyczące IT, takie jak wdrożenia nowych systemów czy wykorzystanie nowych technologii, są podejmowane samodzielnie przez biznes na poziomie zarządu (40%) lub w kooperacji między biznesem a przedstawicielami IT (35%). Pierwszy styl podejmowania decyzji wskazuje na monarchię biznesową. Model ten jest efektywny, jeśli chodzi o inwestycje IT i jest powszechnie stosowany w tym zakresie przez najbardziej rentowne przedsiębiorstwa na świecie. Drugi z popularnych stylów podejmowania decyzji (biznes wraz z IT) może wskazywać na duopol. Model ten jest często stosowany w ustalaniu podstawowych zasad związanych z wykorzystaniem rozwiązań IT w organizacji oraz potrzeb w zakresie aplikacji biznesowych, lecz nie zawsze oznacza efektywność decyzji inwestycyjnych IT.

Ryzykowne IT

Proces zarządzania ryzykiem informatycznym ma na celu zidentyfikowanie i zniwelowanie potencjalnych zagrożeń. Mierzenie ryzyka IT obejmuje również pomiar wpływu incydentów i awarii IT na biznes. Dane z IT Governance Global Status Report 2008 wskazują, że 80% firm na świecie uważa proces zarządzania ryzykiem za ważny bądź bardzo ważny w prowadzeniu biznesu.

Tymczasem, aż 70% organizacji biorących udział w Ankiecie IT Governance 2009 nie mierzy w sposób regularny ryzyka IT. Również wśród zadań IT governance zarządzanie ryzykiem informatycznym otrzymało najmniej odpowiedzi, co potwierdza niedocenienie tego procesu wśród polskich firm i instytucji publicznych. Odpowiadając na pytanie dotyczące najpoważniejszych ryzyk informatycznych, respondenci wskazywali głównie na ryzyko operacyjne IT (35%) oraz złamanie reguł bezpieczeństwa (25%).

Nie tylko dla dużych

IT governance, wbrew pozorom, nie jest potrzebny jedynie w dużych firmach. Każda organizacja IT, która boryka się z problemami dopasowania działań do zmieniających się wymagań biznesu, skomplikowanym środowiskiem technologicznym i procesowym oraz funkcjonuje w złożonym środowisku prawnych regulacji i wysokiego ryzyka, powinna zdecydować się na budowę kultury funkcjonowania IT. Ta kultura będzie zachowana przy użyciu różnych narzędzi zarządczych, ale jej podstawą zawsze pozostanie zmiana sposobu myślenia o roli, jaką IT może odgrywać we wspieraniu podstawowej działalności biznesowej całej organizacji. Polskie firmy i instytucje publiczne, jakkolwiek wciąż nadrabiają zaległości do swoich odpowiedników z Zachodu, wydają się być na dobrej drodze ku lepszemu.

Paweł Wesserling jest konsultantem IT governance w firmie DOBIS.