Co je IT governance?
Jednoduše řečeno, jde o přístup k zajištění sladění přístupu k IT s obchodní strategií – zabezpečení toho, aby organizace směřovala správným směrem k dosažení svých cílů a plnění svých strategických plánů – s čímž souvisejí také implementace kvalitních postupů k měření výkonu IT. Dobrá IT governance zaručí, že budou brány v potaz zájmy všech akcionářů a výsledky veškerých procesů půjde za pomoci zvolených metrik změřit. Zavedený rámec IT governance by měl pomoci se zodpovězením několika klíčových otázek. Například „Jak funguje IT oddělení organizace?“, „Které klíčové metriky jsou důležité pro vedení firmy?“ nebo „Vrací se organizaci investice do IT nějakým způsobem také ohledně obchodních výsledků?“.
Je řízení informačních technologií opravdu pro každého?
Všechny organizace – malé i velké, ze soukromého i veřejného sektoru – potřebují zajistit, že IT opravdu podporuje obchodní strategie a napomáhá plnění jejich cílů. Úroveň a sofistikovanost implementovaného řešení IT governance ovšem silně kolísá v závislosti na odvětví, velikosti firmy či relevantních vládních nařízeních. Obecně lze říci, že čím větší a regulovanější organizace, tím detailnějších struktur by mělo nabývat její řešení IT governance.
Jaké jsou hlavní motivační faktory pro přijetí IT governance?
Organizace dnes musejí plnit mnoho regulí ze všemožných oblastí: uchovávání dat, práce s citlivými informacemi, finance nebo třeba disaster recovery. Ačkoli zatím žádné ze známých nařízení přímo rámec IT governance nevyžaduje, zjistili mnozí, že jeho nasazení plnění vládních požadavků dramaticky usnadňuje. Samotná implementace IT governance totiž organizaci poskytne interní páky k zdárnému dodržování zákonů jako Sarbanes-Oxley z roku 2002.
Jak o nutnosti implementace IT governance přesvědčit také vrcholový management?
Ujistěte se, že celý koncept propagují ti správní lidé – pokud to dělají jen pracovníci z IT, máte problém. Je mnohem efektivnější zformovat tým složený ze zaměstnanců IT a obchodníků, který pak společně přednese návrh nejvyššímu vedení a ujistí jej o přínosu řízení informačních technologií pro celou organizaci. Tento tým musí šéfům vysvětlit, že společnost potřebuje jakousi road mapu (něco, co těm, kteří rozhodují, ukáže, kde se firma právě nachází, kam nejlépe směřovat a jak se tam nejlépe dobrat) a nenechat stranou chvalozpěvy na případné přínosy jako například vyšší efektivitu a snazší plnění regulatorních požadavků. Jediný problém může nastat v oblasti návratnosti investic (ROI). Ačkoli lze většinu nákladů na implementaci rámce IT governance jednoduše vyvážit výdaji na činnosti, které by vedení stejně mělo finančně podporovat, bude nejspíš třeba vyvinout úsilí, aby šéfové tuto sumu bez výčitek odsouhlasili.
Na jaké oblasti lze rozdělit IT governance?
Podle neziskové organizace IT Governance Institute se řízení informačních technologií dle zaměření člení do pěti základních sfér:
- Strategické uspořádání: Sladění obchodu a IT tak, aby spolu dokázali produktivně kooperovat. Obě strany musejí být schopny efektivně komunikovat o nákladech, reportingu i dopadech každého projektu, teprve pak je dosaženo pravé harmonie.
- Poskytování hodnoty: Zajištění toho, že IT oddělení dělá, co je v jeho silách, aby zabezpečilo benefity slíbené na počátku projektu či investice. Nejlepší způsob, jak mít vše pod kontrolou, je vyvinout proces, který dohlíží na to, aby byly jisté činnosti podporovány, když hodnota takového projektu roste, či naopak zcela odstraněny, pokud tato hodnota klesá.
- Správa zdrojů: Jedním ze způsobů jak lépe spravovat zdroje je efektivnější organizace zaměstnanců – například podle schopností místo jejich pracovního zařazení v podniku. To organizaci umožní jednoduše nasazovat kvalifikované lidi kamkoli, kde si to situace právě žádá.
- Risk management: Zavedení formálního rámce, který zpřísní správu a přijímání rizik i měření vykonávaných IT oddělením a reportování o těchto činnostech.
- Výkonnostní měření: Vybudování struktury okolo měření obchodní výkonnosti. Velmi častou metodou je využití „IT Balanced Scorecard“ (volný překlad zní vyvážená výsledková listina), pomocí které lze sledovat, ve kterých oblastech a jakým způsobem IT přispívá k plnění byznys cílů. Tato metoda k zodpovězení otázek kombinuje kvalitativní i kvantitativní ukazatele měření výkonnosti.
To vypadá poměrně komplikovaně: Jak vlastně implementovat vše, co spadá pod oblast IT governance?
Nedávalo by smysl začínat od nuly a kompletně překopávat všechny zavedené procesy, proto to ani nezkoušejte. Začnete s rámcem: Těch je k dispozici velké množství, jejich využitím však zajistíte, aby vše bylo organizované a díky průmyslovým standardům nepřímo posvěcené rukou světových expertů. Součástí těchto rámců jsou také implementační průvodci a většina společností nějaký z frameworků aktuálně využívá: Podle průzkumu firmy Pricewaterhouse Coopers a organizace IT Governance Institute 95?% podniků nasadilo jeden z hlavních existujících rámců pro IT governance, zatímco jen hrstka si vytvořila frameworky vlastní.
Jaké jsou tedy hlavní rámce pro IT governance?
Jak již bylo řečeno, frameworků oblasti řízení informačních technologií existuje celá řada, podívejme se tedy na ty nejdůležitější:
CoBIT: Pravděpodobně vůbec nejpopulárnější rámec, za jehož tvorbou stojí organizace ISACA (Information Systems Audit and Control Association). V podstatě jde o světově přijímanou sestavu směrnic a podpůrnou sadu nástrojů pro IT governance. Je používána auditory a společnostmi, které chtějí integrovat technologie jako prostředky k dosažení specifických obchodních cílů. Nejnovější verze z května minulého roku je CoBIT 4.1. CoBIT se hodí především pro organizace vysoce zaměřené na správu a zmírňování rizik.
ITIL: Information Technology Infrastructure Library byla vyvinutá vládou Spojeného Království. V rámci osmi publikací nabízí procesy zaměřené na oblasti dodávky služeb (service delivery), podpory služeb (service support), správy služeb (service management), správy infrastruktury ICT (ICT infrastructure management), správy softwaru (software asset management), obchodní perspektivy (business perspective), správy bezpečnosti (security management) a správy aplikací (application management). ITIL je vhodný zejména pro organizace zaměřené na operační činnost.
COSO: Tento model sloužící k vyhodnocení interního řízení pochází od organizace COSO (Committee of Sponsoring Organizations of the Treadway Commission). Zahrnuje směrnice k mnoha oblastem, jako jsou správa lidských zdrojů, příchozí a odchozí logistika, externí zdroje, informační technologie, rizika, obchodní činnost, marketing a prodej, operace, finance, dodávky či reporting. Jde o framework, který je na rozdíl od ostatních orientovaný spíše na obecný byznys a méně na IT.
CMMI: Tento model je majetkem Software Engineering Institute (SEI) při Carnegie Mellon University v Pittsburghu a poprvé byl zveřejněn v roce 1991. Jde o metodologii pro zlepšování procesů napříč 22 různými oblastmi. CMMI se hodí především pro organizace, které potřebují pomoc s vývojem aplikací, mají problémy se správou životního cyklu a chtějí zlepšit dodávku produktů v rámci tohoto životního cyklu.
Rámců je tedy na výběr dost. Jak si mezi nimi zvolit „ten správný“?
Většina společností sáhne po CoBITu nebo ITILu, další však mohou být neméně užitečné. Pro operace zkuste ITIL. Pro vývoj aplikací a problémy s životním cyklem zase CMMI. Oblast rizik pak dokonale pokrývá CoBIT. Kombinace různých rámců může být více než smysluplná. Lze kupříkladu využít CoBIT jakožto vše zastřešující rámec – ITIL pak bude sloužit pro oblast operací, CMMI pro vývoj a ISO 17799 zajistí bezpečnost. Ač se to nemusí zdát, je kombinace frameworků v praxi dokonce poměrně běžnou záležitostí: Podle průzkumu společnosti Pricewaterhouse Coopers využívá 65?% dotazovaných organizací CoBIT i ITIL, k čemuž tyto subjekty přidávají některý z méně známých modelů, jenž se nejlépe hodí pro jejich konkrétní potřeby.
A to je zcela nejdůležitější konstatování – rámec musí plně zapadat do vaší firemní kultury a akcionáři by s ním měli být dobře obeznámeni. Pokud společnost již využívá některý z výše zmíněných rámců a dokáže jej dosadit také do role frameworku pro IT governance, tím lépe.
Lze implementaci provést na vlastní pěst, nebo je lepší vzít si k ruce odborníky?
Někdy je v životě smysluplné požádat o pomoc jiné, to platí i v případě zavádění rámce pro IT governance. Ve firmě totiž v naprosté většině případů nepracují lidé s potřebnými zkušenostmi, a když už ano, nemají většinou dostatek tolik potřebného času. Nejlépe je tedy do čela projektu dosadit někoho „zevnitř“, ten by však měl brát pomoc také „zvenku“ a nespoléhat jen na schopnosti své a svých pracovníků.
Co lze pokazit neefektivní implementací?
Není-li rámec pro IT governance implementován pořádně, může přímo ovlivnit pohled nejvyššího vedení na IT oddělení. „Žádný CIO nechce, aby jeho divize byla vnímána jen jako černá díra na finance, která není schopna vyprodukovat cokoli vskutku hodnotného,“ říká bývalý mezinárodní prezident ISACA a IT Governance Institute Marios Damianides, který je v současnosti partnerem společnosti Ernst & Young. Nedostatečně efektivní implementace může také způsobovat problémy s častými finančními i časovými přesahy projektů a špatné odhady z nich plynoucí přidané hodnoty. To pak samozřejmě vede k nespokojenosti vedení i akcionářů společnosti.
Co tedy dělat, aby zavedení rámce pro IT governance proběhlo v pořádku a řízení informačních technologií pak zajistilo dosahování pozitivních výsledků?
Na tomto místě lze zmínit tipy, které platí pro drtivou většinu všech implementačních projektů: Dostaňte vedení na svou stranu. Na projekt vyhraďte tým složený ze zaměstnanců IT i obchodníků, pokud bude třeba, požádejte o pomoc i třetí stranu. Jasně načrtněte a definujte roli i zodpovědnost každého oddělení a akcionáře. Berte v potaz firemní kulturu a náležitě se jí přizpůsobte.
V průběhu procesu kontinuálně komunikujte se všemi zúčastněnými stranami. Krom toho samozřejmě měřte a monitorujte průběh implementace. Budete-li se svědomitě držet všech těchto pokynů, mělo by zavedení IT governance proběhnout úspěšně a náležitě přispět ke zlepšení chodu vaší organizace.
Nějaké další tipy?
Jistě, nakonec lze základní rady pro oblast IT governance zesumarizovat do čtyř základních bodů. Podívejme se, které to jsou:
- Identifikujte relativní strategickou hodnotu: Udělejte to, i kdybyste měli porovnávat jablka s hruškami. Když stojíte před řadou potenciálních projektů, je třeba nalézt způsob, jak učinit rozdíly mezi nimi transparentní a dokázat je porovnat co do obchodní hodnoty, nákladů i potenciálních rizik. Mnohá IT oddělení si pro tento účel vyvinou vlastní hodnotící a měřící nástroje. Ty jim pak pomáhají soustředit se na faktory, které jsou pro jejich organizaci zcela nejdůležitější.
Například společnost Yellow Technologies využívá konceptu vážených odpovědí (v rámci každého projektu je položena sada základních otázek, jejichž zodpovězením lze určit, zda má daný projekt potenciál) a dále jej rozvíjí – odpovědi jsou vyobrazovány v mřížce, která ukazuje náklady i eventuální finanční návratnost. Vysoce rizikové projekty jsou symbolizovány velkými bublinami, méně rizikové menšími. Barva bublin indikuje jejich strategický význam (zelená je vysoce strategická, žlutá méně a červená mizivě nebo vůbec).
- Vrcholoví výkonní byznys pracovníci by měli stanovovat priority IT: Když přijde na vynesení finálního ortelu nad směřováním rozpočtu IT, mívají hlavní slovo komise složené ze zástupců vedení IT a obchodního oddělení. Z palety letošních vítězů v žebříčku CIO 100 (umisťují se nejúspěšnější společnosti v oblasti IT, soutěž zaštiťuje náš sesterský magazín CIO US) 51?% pro schvalování nových projektů a obchodní transformace využívá výkonnou radu, 38?% má k tomuto účelu speciální řídící komisi (složenou ze zástupců IT i byznysu) pro řízení IT. Tím, že obchodníkům dáte přístup ke kontrole IT budgetu (nebo alespoň jeho spolukontrole), nejen pomůžete sladit IT s obchodními cíli, ale také zvýšíte odpovědnost byznys divize za dosahované výsledky a pomůžete jí uvědomit si případné přínosy technologií. Není tedy žádným překvapením, že 73 % z firem žebříčku CIO 100 říká, že CIO sdílí zodpovědnost za generování hodnoty z IT projektů s vybranými výkonnými byznys pracovníky. Dalším poměrně častým jevem jsou pak speciální projektově-specifické řídící komise složené z relativně vysoce postavených výkonných pracovníků.
- Jasně stanovte priority a srozumitelně je komunikujte dále: Jakmile se IT a obchodní oddělení shodne na prioritách, je třeba toto přetlumočit dále (vedení, akcionářům…), musí tak být ovšem učiněno vhodným a dostatečně jasným způsobem. Dobrá komunikace stanovující ten správný tón a umožňující ostatním pochopit fungování procesů IT governance je tedy klíčová.
- Pravidelně monitorujte projekty: Práce CIO nekončí, jakmile jsou IT projekty odsouhlaseny, zafinancovány a spuštěny. Šéfové IT si musejí najít způsob, jak mít neustálý přehled o jejich průběhu, aby dokázali chránit provedené investice. Měsíční reporty představují přehledná shrnutí a dokážou předem upozornit na potenciální problémy, což umožní relevantní intervenci a umožní předejít zbytečným zádrhelům i finančním ztrátám.