Stosowane w organizacjach jednolite reguły ładu korporacyjnego, ryzyka i zgodności z przepisami (Governance, Risk and Compliance) obejmują wszystkie obszary biznesu, także IT. Zasady te są zawarte w regulacjach prawnych oraz uznanych standardach i normach, np. ISO, SOX, ITIL.

Norma ISO/IEC 38500 zawiera wytyczne dla kadry zarządzającej firmą (właścicieli, prezesów, członków zarządu, dyrektorów, partnerów, menedżerów, kierowników), jak skutecznie i efektywnie wykorzystać zasoby IT w firmie. Standard ma zastosowanie do wszystkich organizacji, w tym spółek publicznych, prywatnych, instytucji rządowych i non-profit. Odnosi się do podmiotów o różnej wielkości, niezależnie od liczby wykorzystywanych systemów i rozległości infrastruktury IT.

Zasady ładu korporacyjnego tworzą ramy skutecznego zarządzania IT. Ramy te obejmują definicje oraz zasady w sześciu podstawowych obszarach:

  • odpowiedzialność,
  • strategia,
  • zakupy,
  • wydajność,
  • zgodność,
  • czynnik ludzki.

Zasada odpowiedzialności

Za wdrożenie odpowiednich mechanizmów zarządzania w IT odpowiadają zarząd oraz szefowie IT. Powinni oni ocenić możliwości przypisania odpowiedzialności w odniesieniu do działalności bieżącej i wykorzystania IT w przyszłości.

Wybranie odpowiednich mechanizmów zarządzania pozwoli ułatwić proces wdrażania zasad ładu korporacyjnego.

Zarządzanie procesowe, logistyczne, relacjami z klientami, projektami, finansami, ocena opłacalności projektów inwestycyjnych, kontroling i budżetowanie w IT, strategiczna karta wyników, zarządzanie wartością przedsiębiorstwa – to niektóre z narzędzi ułatwiających ocenę dojrzałości IT w firmie.

Strategia IT

Strategia IT to fundament do budowania relacji między biznesem a IT. Powinno się w niej zapisać wszystkie te elementy, które są konieczne do osiągnięcia celów biznesowych firmy (np. zakup i wdrożenie aplikacji, poziom kompetencji, infrastrukturę itp.). Strategia powinna opierać się na planie inwestycyjnym zaakceptowanym przez biznes. Projekty IT zapisane w strategii powinny być regularnie monitorowane w procesie kontroli projektów.

W ramach tworzenia strategii menedżer IT powinien uwzględnić:

  • zakres wsparcia procesów biznesowych (mapę procesów),
  • zarządzanie zmianą (proces zarządzania zmianą ITIL),
  • bezpieczeństwo informacji (ISO/IEC 27001),
  • analizę ryzyka,
  • katalog usług dla biznesu (mierniki),
  • dotrzymanie jakości usług (umowa, parametry SLA),
  • współpracę z biznesem (kanały komunikacji, finansowanie),
  • outsourcing (umowy, SLA),
  • help desk (i narzędzia wspierające jego działanie),
  • rozwój systemów i struktury informatycznej (plany rozwojowe),
  • raportowanie i monitorowanie (audyty).

Zakupy

Systemy informatyczne powinny być dopasowanie do strategii biznesowej, tak aby mogły efektywnie wspierać dążenia do osiągania celów firmy. Jednym z kluczowych elementów rozwoju IT są zakupy, które także są elementem strategii. Na przykład zakup i wdrożenie nowego systemu klasy ERP jest decyzją biznesową, dotyczącą całej organizacji. A zatem IT wspólnie z biznesem powinno określić zakres zakupów  oraz cele, tak aby efektywnie wykorzystać zasoby firmy (ludzi i pieniądze).

Proces podejmowania takich decyzji powinien być sformalizowany w postaci jasnej, jawnej procedury, która będzie zawierała takie rozwiązania jak: negocjowanie z kontrahentami umów zakupu i utrzymania w odniesieniu do sprzętu oraz usług IT, przygotowywanie i ogłaszanie przetargów, koordynowanie prac zespołów przetargowych, współpraca z innymi jednostkami organizacji w zakresie opracowania optymalnej strategii negocjacyjnej dla poszczególnych kontrahentów i umów. Jednym z elementów tej procedury powinna być także kontrola zgodności wynegocjowanych umów z wewnętrznymi standardami i zaleceniami.

Wydajność

Pomiar efektywności IT polega na śledzeniu realizacji przedsięwzięć informatycznych oraz monitorowaniu świadczenia usług. W jaki sposób można zmierzyć wydajność działań działu IT? Odpowiedź daje metodyka ITIL, określająca sposoby i narzędzia do jednoznacznego zdefiniowania katalogu usług świadczonych pozostałym działom, a także miary i sposoby pomiaru tych usług.

ITIL to zbiór kompleksowych rekomendacji branży IT, z których powstała międzynarodowa norma ISO do zarządzania usługami IT – ISO/IEC 20000. ITIL opisuje procesy służące poprawnemu zarządzaniu infrastrukturą IT. Celem tych działań jest zapewnianie użytkownikom usług informatycznych na oczekiwanym poziomie wydajności i dostępności systemów poprzez wdrożenie mechanizmów SLA.

Ład korporacyjny w SAP

Narzędziem wspierającym zarządzanie ładem korporacyjnych w dużych organizacjach, szczególnie tych, które korzystają już z innych systemów  SAP (ERP, CRM), jest SAP GRC. Rozwiązania SAP wspierające procesy GRC można podzielić na trzy grupy obejmujące narzędzia do zarządzania ładem korporacyjnym (SAP GRC Repository, SAP GRC Corporate Sustainability Management), zarządzanie ryzykiem (SAP GRC Risk Management) oraz zgodność z przepisami (SAP GRC Access Control, SAP GRC Process Control, SAP GRC Global Trade Services i aplikacje SAP dla zgodności z wymaganiami w zakresie ochrony środowiska). Procesy zarządzania ładem korporacyjnym w SAP GRC w odniesieniu do zarządzania działem IT są zgodne ze zbiorem najlepszych praktyk ITIL oraz wymogami zarządzania bezpieczeństwem informacji z normy ISO/IEC 27001.

Stosowanie wytycznych ITIL optymalizuje koszty, zmienia podejście do zarządzania IT (IT traktowane jest jak biznes), wprowadza wspólny język komunikacji pomiędzy biznesem a IT, skupia uwagę na korzyściach dla biznesu (patrzenie na informatykę oczami biznesu), daje narzędzia do ciągłego doskonalenia.

Implementując ITIL lub certyfikując standard ISO/IEC 20000 w organizacji, mamy gwarancję wysokiego poziomu zarządzania zasobami IT.

Zgodność

Ważnym czynnikiem zewnętrznym mającym znaczny wpływ na kierunki rozwoju działów IT, proces zarządzania ryzykiem oraz strategią IT jest m.in. zmienność prawa. Każdy świadomy menedżer IT w organizacji powinien przestrzegać dyrektyw, przepisów i regulacji obowiązujących w danym kraju oraz regularnie monitorować ich zmiany.

Pomocnym rozwiązaniem jest domena A.15 normy ISO/IEC 27001, która narzuca regularny monitoring oraz przypisanie aktów prawnych do kluczowych aktywów, informacji ora zasobów IT w organizacji. Najczęściej stosowane akty prawne to:

  • Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. wraz z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),
  • Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 1994 r. Nr 24, poz. 83),
  • Ustawa z dnia 29 lipca 2005 r. o zużytym sprzęcie elektrycznym i elektronicznym (Dz. U. nr 180, poz. 1495),
  • Ustawa z dnia 27 kwietnia 2001 r. o odpadach (Dz. U. Nr 62, poz. 628 z późn. zm.),
  • Ustawa z dnia 27 kwietnia 2001 r. Prawo ochrony środowiska (Dz. U. nN 62, poz. 627 z późn. zm.).

Wśród innych istotnych regulacji prawnych należy wymienić także Sarbanes-Oxley Act (SOX), który reguluje kwestie jakości i wiarygodności sprawozdawczości finansowej, zwiększenie odpowiedzialności audytorów i zarządów, podniesienie efektywności kontroli wewnętrznej i zaostrzenie wymagań przejrzystości kluczowych graczy na rynkach finansowych.

Ustawa ta obowiązuje amerykańskie spółki publiczne i firmy od nich zależne, w tym także polskie oddziały koncernów wywodzących się z USA. Stanowi jednak standard kontroli wewnętrznych na całym świecie.

Basel II to wydany przez Bazylejski Komitet Nadzoru Bankowego zbiór najlepszych praktyk rynkowych w zakresie zarządzania ryzykiem finansowym w sektorze bankowym oraz utrzymywania bezpiecznego poziomu kapitałów przez banki.

Kolejną regulacją jest Europejski Kodeks Postępowania dotyczący wydajności energetycznej centrów danych. Kodeks przewiduje współpracę z organizacjami w zakresie redukcji emisji dwutlenku węgla, w ramach której mogą one występować jako uczestnik (operator centrum danych) lub jako jednostka wspierająca (dostawcy i instytucje, które promują kodeks).

Czynnik ludzki

W ostatnich badaniach przeprowadzonych przez firmę Sybase Polska 37% respondentów jako główną przyczynę uniemożliwiającą rozwój IT w firmach wskazuje problemy kadrowe. W IT podstawowe elementy zarządzania zasobami ludzkimi to: zarządzanie personelem i siłą roboczą, zarządzanie listą płac, świadczeniami pracowniczymi, szkoleniami, ścieżkami rozwoju zawodowego oraz zdrowiem i bezpieczeństwem w pracy. Dodatkowo menedżer IT powinien określić systemy zarządzania wynagrodzeniami, zapewniając modelowanie wynagradzania pracowników zgodnie z ich kompetencjami i wynikami.

Bardzo ważnym elementem jest stworzenie odpowiednich mechanizmów i procedur dla utrzymania ważnych dla firmy kompetencji IT.

Doradztwo, audyty, certyfikacja

BCC (aktualnie All for One Poland) świadczy usługi doradztwa informatycznego w zakresie ładu korporacyjnego, audytów wewnętrznych, poprawy efektywności IT dzięki wykorzystaniu standardów ITIL, zintegrowanego zarządzania ryzykiem GRC. Firma oferuje usługi wdrożenia i przygotowania do procesu certyfikacji systemów zarządzania bezpieczeństwem informacji zgodnych z normą ISO/IEC 27001, systemów zarządzania usługami IT wg ISO/IEC 20000, wsparcia w budowie strategii ciągłości działania wg BS 25999, TOGAF oraz COBIT. Adresatem usług są duże firmy i organizacje posiadające złożoną infrastrukturę IT, zorientowane na optymalizację zarządzania usługami i zasobami IT.

Dział IT nie jest jednorodny, dlatego istotne jest opracowanie standardów stanowiskowych – zakresów czynności, kart stanowiskowych zawierających takie elementy jak: główny cel stanowiska, zadania, odpowiedzialność, uprawnienia decyzyjne, zastępstwa, sposób kontroli pracy, sposób oceny pracownika, wymagania kwalifikacyjne, ścieżkę szkoleń i ścieżkę kariery.

Bezpieczeństwo osobowe to również bardzo ważny element w IT. Stworzenie odpowiednich procedur dotyczących rekrutacji, wewnętrznych rotacji pracowników pomiędzy działami czy odejście pracownika z firmy opisuje domena A.8 normy ISO/IEC 27001. Zarządzanie zasobami ludzkimi to jeden z najważniejszych czynników w procesie zarządzania ryzykiem.

Dla kogo?

Rosnąca liczba uregulowań prawnych, nacisk ze strony rynków finansowych oraz zwiększające się wymagania udziałowców spowodowały wzrost znaczenia zagadnień związanych z ładem korporacyjnym. Każdy szef IT potrzebuje mechanizmów  pokazujących, że dział IT gwarantuje realizację strategii i celów firmy. Poziom zaawansowania ładu korporacyjnego IT jest zależny od wielkości, sektora rynku lub stosowanych w branży przepisów. Każda organizacja wdrażająca zasady ładu korporacyjnego powinna powołać menedżera odpowiedzialnego za:

  • proces zarządzania ryzykiem w IT (np. ISO 31000, ISO 27005 w zakresie wytycznych zarządzania ryzykiem w systemie zarządzania bezpieczeństwem informacji, COSO II – zintegrowana struktura ramowa dla zarządzania ryzykiem korporacyjnym),
  • strategię zarządzania ciągłością działania (np. BS 25999 – kodeks postępowania określający najlepsze praktyki dotyczące zarządzania ciągłością biznesu),
  • zarządzanie usługami IT (np. ITIL, ISO/IEC 20000 – metodologia i standard dotyczący zarządzania procesami i usługami w IT),
  • zgodność z prawem (np. ustawa o ochronie danych osobowych, SOX, itd.),
  • kontroling kosztów IT (np. procedury zarządzania portfelem IT),
  • przygotowanie organizacji do audytów wewnętrznych oraz zewnętrznych (np. Cobit – standard opracowany przez ISACA oraz IT Governance Institute, zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych),
  • raportowanie i przygotowanie przeglądów dla zarządu (ISO 19001:2002 – wytyczne dotyczące audytowania systemów zarządzania jakością).

Ład – wspólny cel

Wdrożenie zasad ładu korporacyjnego IT w organizacji jest swoistą gwarancją, że dział IT jako jednostka biznesowa będzie odpowiedzialny za realizację celów strategicznych firmy. Konieczność zaangażowania zarządu w regularny monitoring działań pomaga zrozumieć decydentom mechanizmy zarządzania i miejsce IT w organizacji. Współodpowiedzialność menedżerów IT za biznes firmy a zarządu za efektywność IT zmniejsza ryzyko konfliktów pomiędzy biznesem a IT.

Ład korporacyjny zapewnia proces dostosowania inwestycji w IT do strategii biznesowej i pomaga w zatwierdzaniu planów finansowych i budżetów. Procesy monitorowania efektywności mogą być wykorzystanie do skutecznego priorytetyzowania wniosków innych działów ubiegających się o inwestycje w IT, co z kolei zmniejsza ryzyko nieskutecznej alokacji zasobów. Jasna platforma komunikacji w organizacji jest jedną z korzyści wdrożenia IT governance w organizacji. Organizacja zyskuje procesy ułatwiające monitorowanie strategii zarządzania ryzykiem.

Zapewnienie, że organizacja w zakresie IT działa zgodnie z prawem, oraz wszystkie powyższe aspekty w rezultacie składają się na wzrost efektywności organizacji oraz budowanie jej reputacji i pozycji konkurencyjnej.