Przewodnik wdrożeniowy IT governance

Posted in: IT for CEO, NewsTags: Biznes Konsalting, CIO, IT Consulting, IT for CEO, IT Governance

Niewiele jest firm, które w codziennej pracy nie wykorzystują technologii informatycznych. Wsparcie procesów biznesowych systemami informatycznymi wprowadza nowe, dotychczas nie istniejące rodzaje ryzyka, którymi trzeba zarządzać.

W tym celu powstała nowa dziedzina, jaką jest nadzór informatyczny (ang. IT governance), zwany także ładem informatycznym. Stanowi on integralny komponent ładu korporacyjnego.

IT governance

Kluczowe zagadnienia z obszaru nadzoru informatycznego obejmują strategię IT, dostarczanie wartości, zarządzanie ryzykiem, zarządzanie zasobami oraz pomiar wydajności1. Tak jak w przypadku ładu korporacyjnego podstawowym celem nadzoru informatycznego jest maksymalizacja korzyści i wartości organizacji wynikających z posiadanych zasobów (w tym informacji) przy założeniu ograniczonej ekspozycji na rodzaje ryzyka wynikające z wykorzystania technologii. Na nadzór informatyczny składają się struktury organizacyjne oraz procesy zarządzania, które tworzą spójny i skutecznie działający system kontroli wewnętrznej.

Jak wdrożyć IT governance?

Wdrożenie nadzoru informatycznego nie jest zadaniem łatwym. Projektując sam proces wdrożenia, należy sięgać do wypracowanych i sprawdzonych rozwiązań. Istniejące standardy w zakresie IT governance są na tyle elastyczne, że pozwalają dostosować sposób i zakres wdrożenia do organizacji niemalże każdej wielkości. Doskonałym przykładem standardów dostarczających odpowiedniej wiedzy na temat nadzoru informatycznego są opracowane przez IT Governance Institute i promowane przez ISACA standardy COBIT 4.1 i Val IT. Aby ułatwić korzystanie z tych standardów, opracowany został dokument “IT Governance Implementation Guide”2, który stanowi przewodnik wdrożeniowy nadzoru informatycznego. Materiał zawiera zbiór wskazówek, jak powinny wyglądać zasady IT governance, ale przede wszystkim mapę drogową do IT governance. Dokumentowi towarzyszy zestaw przykładowych narzędzi w postaci kwestionariuszy diagnostycznych, arkuszy samooceny oraz zbiór przykładowych prezentacji.

Mapa drogowa do IT governance

Odpowiednie zaplanowanie wdrożenia nadzoru informatycznego istotnie podnosi szanse sukcesu. Dlatego też zalecane jest opracowanie spójnego systemu kontroli wewnętrznej na podstawie sprawdzonego podejścia modelowego, np. mapy drogowej do IT governance. Propozycja takiej mapy drogowej jest zawarta we wspomnianym przewodniku wdrożeniowym nadzoru informatycznego. Proces wdrożenia nadzoru informatycznego to pięciofazowy projekt, w którym każda faza podzielona jest na szczegółowe etapy.

Faza 1. Identyfikacja potrzeb

Celem tej fazy jest określenie potrzeb i oczekiwań co do nadzoru informatycznego, zgłaszanych przez najważniejsze grupy interesariuszy (zarząd, kierownictwo biznesowe, kierownictwo IT, audyt i zarządzanie ryzykiem). Pierwszym etapem w procesie identyfikacji potrzeb jest podniesienie świadomości i zaangażowanie kierownictwa. Ma to na celu ujednolicenie zrozumienia uwarunkowań, w jakich przebiegał będzie proces wdrożenia, uzgodnienie studium przypadku oraz uzyskanie deklaracji zaangażowania głównych stron w procesie wdrożenia. W celu skutecznej integracji rezultatów projektu na tym etapie należy wziąć pod uwagę istniejące strategie, polityki, plany biznesowe itp. Do najważniejszych zadań tego etapu należą:

  • podniesienie świadomości kierownictwa dotyczącej znaczenia informatyki w biznesie oraz wartości nadzoru informatycznego;
  • zrozumienie czynników biznesowych wpływających na potrzebę wdrożenia nadzoru informatycznego, tj. dostarczanie wartości, optymalizacja kosztów, zarządzanie ryzykiem;
  • integracja IT governance z ładem korporacyjnym, istniejącą strategią i politykami;
  • zdefiniowanie polityki i celów nadzoru informatycznego;
  • uzgodnienie zakresu, oczekiwanych korzyści, celów oraz ogólnego podejścia do nadzoru;
  • opracowanie studium przypadku, w tym identyfikacja czynników sukcesu pozwalających na monitorowanie wdrożenia oraz ocenę skuteczności usprawnień;
  • uzyskanie budżetu, wskazanie sponsora projektu oraz osób odpowiedzialnych za przedsięwzięcie;.
  • określenie struktury projektowej, ról i odpowiedzialności poszczególnych osób.

Kolejnym etapem jest zdefiniowanie zakresu wdrożenia. Oto główne komponenty tego etapu:

  • zrozumienie celów biznesowych i wpływu informatyki na ich realizację;
  • zdefiniowanie celów dla informatyki.
  • identyfikacja kluczowych procesów i mechanizmów kontrolnych.

Etap ten umożliwia zrozumienie celów biznesowych oraz wskazuje, w jakim zakresie wspiera je informatyka. Głównym obszarem uwagi na tym etapie powinna być analiza, w jaki sposób informatyka dostarcza wartości w uruchamianiu nowych procesów biznesowych, usprawnia efektywność istniejących procesów biznesowych i całej organizacji oraz jak wspiera zarządzanie ryzykiem, bezpieczeństwem informacji i zapewnienie zgodności z przepisami prawa. Na podstawie analizy definiowane są mierzalne cele dla informatyki, które przekładają się na wartość biznesową. Należy przy tym wziąć pod uwagę zarówno wymagania biznesowe dla informacji dostarczanej przez IT, jak i dostępne zasoby. Jednym z najważniejszych zadań we wdrożeniu nadzoru informatycznego jest identyfikacja kluczowych procesów i mechanizmów kontrolnych. Opierając się na wcześniejszych analizach, należy wskazać obszary informatyki, które wymagają usprawnienia dla podniesienia stopnia wsparcia celów biznesowych. Zadanie to pozwala jasno określić zasięg nadzoru informatycznego i wskazać miejsca, które wymagają szczególnej uwagi.

Kliknij, aby powiększyć 

Identyfikacja rodzajów ryzyka jest etapem pozwalającym określić czynniki, które mogą utrudnić realizację założonych celów biznesowych. W ramach tego etapu projektu należy skoncentrować się na takich aspektach, jak:

  • określenie skłonności do ryzyka i analiza dotychczasowych zdarzeń;
  • identyfikacja rodzajów ryzyka związanych z usługami informatycznymi;
  • zdefiniowanie rodzajów ryzyka związanych z dostarczaniem nowych rozwiązań technologicznych;
  • korekta zakresu wdrożenia na podstawie zidentyfikowanych rodzajów ryzyka.

Etap ten jest niezwykle istotny dla prawidłowej konstrukcji systemu kontroli wewnętrznej wbudowanego w nadzór informatyczny. Wynika to z faktu, że mechanizmy kontrolne, które należy wdrożyć w procesach zarządzania, powinny stanowić spójną i kompletną odpowiedź na zidentyfikowane rodzaje ryzyka. Błędy popełnione na tym etapie wpływają bowiem negatywnie na całość systemu kontroli wewnętrznej. Wiedza uzyskana w poprzednich etapach pozwala wstępnie sformułować założenia dla nadzoru informatycznego. Pierwszym krokiem w tym kierunku jest identyfikacja zasobów i określenie wyników systemu nadzoru. Celem tego etapu jest przede wszystkim:

  • ustalenie ram nadzoru informatycznego i procesu zarządzania;
  • zdefiniowanie organizacji programu;
  • określenie oczekiwanych rezultatów programu.

Na tym etapie należy dokonać wyboru modelu ramowego kontroli wewnętrznej, na którego podstawie będą konstruowane lub usprawniane procesy zarządzania. Niezwykle istotna jest tu wiedza na temat obowiązujących już w organizacji standardów. Pozwala to na łatwą integrację rozwiązań nowych z już istniejącymi. Organizacje korzystają po części z modeli wdrożonych na podstawie norm ISO 27001, ITIL czy wreszcie COBIT. Należy wykorzystywać dotychczasowy dorobek, szukając przy tym optymalizacji kosztów wdrożenia nadzoru informatycznego. Jednocześnie na tym etapie powstają pierwsze struktury zarządzania, wykorzystywane później w fazie eksploatacji i utrzymania systemu kontroli wewnętrznej oraz nadzoru informatycznego. Najważniejszym czynnikiem sukcesu jest zaangażowanie przedstawicieli wszystkich grup interesariuszy, tj. zarządu, kierownictwa biznesowego, kierownictwa IT, audytu i zarządzania ryzykiem. Doskonałą pomoc w określaniu struktur zarządzania, ról i odpowiedzialności poszczególnych osób w procesie nadzoru stanowi dokument “Board Briefing on IT Governance, 2nd Edition”, opracowany przez IT Governance Institute. Produktem tego etapu prac, który określa wiele parametrów programu i projektów, jest definicja oczekiwanych wyników przedsięwzięcia. Należy tu zwrócić szczególną uwagę na takie elementy, jak:

  • potwierdzenie oczekiwań interesariuszy;
  • ewentualna aktualizacja i korekta studium przypadku;
  • zdefiniowanie kryteriów sukcesu programu i projektów wdrożenia nadzoru informatycznego;
  • wskazanie priorytetowych obszarów wdrożenia;
  • ewentualna korekta celów informatycznych i ostateczna definicja zakresu wdrożenia.

Etapem, który zamyka fazę identyfikowania potrzeb, jest planowanie programu. Celem etapu jest alokacja uzgodnionych zasobów, powołanie struktur projektowych oraz formalna akceptacja budżetu. Jednocześnie teraz powinien zostać opracowany formalny plan obejmujący czas trwania projektu oraz jego poszczególnych etapów i zadań, wskazanie metodyki realizacji projektu. Na zakończenie etapu należy zakomunikować wszystkim zainteresowanym stronom założone cele programu usprawnień, oczekiwania co do zaangażowania zasobów oraz wszelkie elementy, które wpływają na realizację prac. Dzięki temu wyniki działań, które mogą trwać wiele miesięcy, nie miną się z oczekiwaniami interesariuszy.

Faza 2. Opracowanie wizji

Faza ta ma na celu określenie kierunku, w którym organizacja zdecydowała się zmierzać. Składają się na nią trzy etapy:

  • określenie obecnego stanu procesów zarządzania;
  • wskazanie docelowego stanu procesów zarządzania objętych programem usprawnień;
  • analiza luk i wskazanie możliwych do wdrożenia usprawnień.

Dotychczas zrozumienie czynników biznesowych oraz ocena ryzyka wykorzystywane były w celu ukierunkowania programu usprawnień na obszary, które mają największy wpływ na możliwość realizacji celów biznesowych i IT. Na etapie oceny obecnego stanu procesów zarządzania należy znaleźć odpowiedź na pytanie, jak te obszary są zarządzane i jak realizowane są zachodzące w nich procesy. Ma to na celu ocenę stopnia wspierania celów biznesowych i IT przez funkcjonujące procesy. Ocenę można przeprowadzić, posługując się techniką pomiaru dojrzałości procesów IT, która wykorzystuje modele zawarte w standardzie COBIT i Val IT.

Kliknij, aby powiększyć

Opierając się na analizie stanu obecnego, mapie celów biznesowych i IT oraz identyfikacji kluczowych procesów i mechanizmów kontrolnych, które przeprowadzone zostały w poprzednich etapach, należy określić stan docelowy procesów. Stan ten można określić za pomocą modelu dojrzałości, wykorzystywanego już wcześniej na etapie oceny procesów. Na podstawie tego modelu należy wskazać oczekiwany poziom dojrzałości każdego z procesów objętych programem usprawnień. Pamiętać przy tym trzeba, że docelowy poziom dojrzałości powinien być uzasadniony biznesowo i wynikać z faktycznych potrzeb oraz uwarunkowań wewnętrznych i zewnętrznych. Dojrzałość procesów zarządzania może się istotnie różnić w zależności od rynku, branży itp. Nieocenioną pomoc stanowi tutaj benchmarking z podobnymi organizacjami. Doskonałym źródłem danych porównawczych jest COBIT Online, dostępny na stronach ISACA (www.isaca.org). Jasne określenie oczekiwań co do dojrzałości procesów zarządzania oraz wiedza na temat stanu obecnego tych procesów w prosty sposób pozwalają określić obszary, które powinny zostać usprawnione. Analiza luk i wskazanie możliwych do wdrożenia usprawnień to etap, w którym konstruowane są praktyczne rozwiązania stanowiące odpowiedź na zidentyfikowane problemy. Etap ten wymaga dużego doświadczenia w zarządzaniu informatyką, wiedzy na temat sposobu organizacji procesów zarządzania, znajomości dostępnych rozwiązań systemowych itp. Dlatego też niezbędne może okazać się zaangażowanie ekspertów w poszczególnych obszarach oraz właścicieli procesów biznesowych i IT. Często konieczne jest zaangażowanie eksperta zewnętrznego, co pozwala na efektywne i szybkie przejście do kolejnych etapów projektu. Szczególną uwagę należy zwrócić na wszelkie rodzaje ryzyka, które nie zostaną ograniczone w drodze usprawnień. Powinny one zostać kompletnie udokumentowane i formalnie zaakceptowane przez kierownictwo. Pozwoli to monitorować ich stan i w przyszłości uniknąć przykrych niespodzianek.

Faza 3. Opracowanie planu

Uprzednio wskazane obszary usprawnień w prosty sposób definiują konkretne projekty wdrożeniowe. Realizacja tych projektów pozwala osiągnąć założone efekty biznesowe i ograniczyć zidentyfikowane rodzaje ryzyka. Utworzony w ten sposób portfel projektów powinien stanowić zintegrowany program usprawnień. Pamiętać przy tym należy o wpisaniu w projekty i program systemu miar, które pozwolą ocenić ostateczny efekt usprawnień. W ramach tego etapu podejmowane są następujące działania:

  • nadanie priorytetów wszystkim zaplanowanym usprawnieniom na podstawie oczekiwanych korzyści oraz łatwości wdrożenia;
  • naniesienie planowanych usprawnień do planu projektu w celu priorytetyzacji działań;
  • koncentracja na usprawnieniach przynoszących najwyższe korzyści przy najniższym stopniu trudności wdrożenia;
  • dekompozycja skomplikowanych usprawnień w celu identyfikacji działań łatwych do wdrożenia;
  • rejestracja usprawnień, które nie uzyskały statusu projektu, w celu uwzględnienia ich w przyszłych projektach.

Po utworzeniu portfela projektów nie pozostaje nic innego, jak opracowanie planu usprawnień, który powinien zawierać definicję projektów, ich cel, alokowane zasoby oraz jasno określony system pomiaru wyników. Dla osiągnięcia odpowiedniej efektywności i optymalizacji kosztów portfel projektów powinien być zorganizowany w program uwzględniający określoną sekwencję czasową działań, zasoby i zależności pomiędzy przedsięwzięciami.

Faza 4. Wdrożenie

Przy założeniu, że proces został odpowiednio zaplanowany, kluczowe decyzje podjęte na etapie sporządzania planu projektu, a zasoby alokowane, faza wdrożenia nie powinna nastręczać trudności. Składają się na nią:

  • wdrożenie usprawnień;
  • monitorowanie wdrożenia;
  • przegląd i ocena skuteczności programu.

O ile etap praktycznego wdrożenia usprawnień nie wymaga dodatkowych komentarzy, o tyle rzeczą niezwykle istotną jest monitorowanie i pomiar efektów wdrożenia w odniesieniu do założonych celów biznesowych oraz IT. W tym celu wykorzystuje się sprawdzone metodyki, takie jak zrównoważona karta wyników. Dla utrzymania odpowiedniego poziomu zaangażowania interesariuszy należy okresowo raportować postępy, zrealizowane korzyści oraz problemy w realizacji projektów. Pozwala to interesariuszom podjąć stosowne działania w odpowiednim czasie, a kierownikom utrzymać ich zainteresowanie przez cały czas trwania projektów. Podobnie etap przeglądu i ocena skuteczności programu mają ogromny wpływ na sukces całego przedsięwzięcia. Pozwala on na określenie stopnia realizacji założonych korzyści i spełnienia oczekiwań interesariuszy. Na tym etapie nieoceniona wiedza płynie z porównania efektów projektów i programu jako całości do założeń oraz z badania satysfakcji interesariuszy. W praktyce ocena skuteczności programu usprawnień prowadzona jest jako seria ankiet i warsztatów z zainteresowanymi stronami w celu uzyskania ostatecznej akceptacji osiągniętych rezultatów.

Faza 5. Eksploatacja

Faza eksploatacji koncentruje się na pogłębianiu integracji opracowanych rozwiązań z istniejącym modelem biznesowym organizacji oraz na usprawnianiu struktur zarządzania w taki sposób, żeby nadzór informatyczny stał się integralną częścią funkcjonowania organizacji. Faza ta składa się z dwóch etapów: utrzymania i identyfikacji nowych wymogów nadzoru. Działania podejmowane na tych etapach sprowadzają się do udokumentowania polityk, standardów i procesów, zdefiniowania ról i odpowiedzialności oraz komunikowania ich wszystkim zainteresowanym stronom. Pozwala to na stworzenie spójnego i powtarzalnego procesu nadzoru, który z czasem staje się nieodzownym elementem kultury organizacyjnej i zarządzania firmą. Dodatkowe zaangażowanie interesariuszy w proces okresowej oceny skuteczności systemu kontroli wewnętrznej oraz opracowanie procesu zmian, w którym inicjatywa zmian wychodzi od właścicieli procesów biznesowych, wieńczą dzieło.

Tekst opracowany na podstawie “IT Governance Implementation Guide 2nd Edition”, “Using COBIT and Val IT”,IT Governance Institute. Autor jest prezesem polskiego oddziału ISACA ( www.isaca.org.pl ). Posiada uprawnieniacertyfikowanego specjalisty do spraw bezpieczeństwa informacji (CISSP), certyfikowanego audytorasystemów informatycznych (CISA) orazcertyfikowanego audytora wewnętrznego (CIA).

Radek Kaczorek

http://cio.cxo.pl/artykuly/57768_0/Przewodnik.wdrozeniowy.IT.governance.html

Przypisy

1 IT Governance Institute, COBIT 4.1.  

2 IT Governance Institute, IT Governance Implementation Guide 2nd Edition, Using COBIT and Val IT.