Nadzór IT (IT Governance)

Transkrypt

1 Nadzór IT (IT Governance) dr Remigiusz Orzechowski Szkoła Główna Handlowa w Warszawie

2 Plan zajęć Istota nadzoru IT Obszary nadzoru IT Dopasowanie strategiczne IT Dostarczanie wartości przez IT Zarządzanie zasobami IT Zarządzanie ryzykiem IT Pomiar wydajności IT Nadzór IT implementacja w przedsiębiorstwach Decyzje Decydenci Mechanizmy Nadzór IT u liderów i w pozostałych firmach Nadzór IT w Polsce wyniki badań Budowa programu transformacji IT Governance Od nadzoru IT do nadzoru informacyjnego 2

3 Istota nadzoru IT 3

4 Definicja nadzoru korporacyjnego Corporate governance is the system by which companies are directed and controlled. Sir A.Cadbury, The Report of the Committee on The financial aspects of Corporate Governance, December 1992 Nadzór korporacyjny to system prawnych i ekonomicznych instytucji (formalnych i nieformalnych reguł działania) służących regulowaniu stosunków kontraktowych pomiędzy wszystkimi podmiotami zaangażowanymi w funkcjonowanie korporacji (akcjonariuszy, kredytodawców, menedżerów, pracowników, dostawców). Polskie Forum Corporate Governance 4

5 Znaczenie nadzoru korporacyjnego Koncepcja nadzoru korporacyjnego nie jest nowa, ale nabrała na znaczeniu po głośnych skandalach księgowych w USA i w Europie Zachodniej (m.in. Enron, Worldcom, Parmalat). Badania McKinseya wskazują, że inwestorzy są skłonni zapłacić pokaźną premię za wysoki standard nadzoru korporacyjnego w przedsiębiorstwie. Premia ta wacha się od średnio 13% w Ameryce Północnej i Europie Zachodniej, do 20-25% w Azji i Ameryce Łacińskiej. W Europie Wschodniej i w Afryce premia ta nierzadko jest jeszcze wyższa. 5

6 Definicja i rola nadzoru IT Nadzór IT (IT Governance) jest elementem nadzoru korporacyjnego, analogicznie do nadzoru nad zasobami ludzkimi, finansowymi czy fizycznymi Definicje nadzoru IT: Nadzór IT należy do odpowiedzialności zarządu i obejmuje przywództwo, struktury organizacyjne oraz procesy, niezbędne do tego, aby IT mogło wspomagać realizację obecnych strategii i celów przedsiębiorstwa, a także kreować nowe [IT Governance Institute] IT Governance: Specifying the decision rights and accountability framework to encourage desirable behaviour in the use of IT [Weill, Ross] The system by which the current and future use of IT is directed and controlled. [ISO/IEC 38500:2008] Rolą nadzoru IT jest integracja i instytucjonalizacja dobrych praktyk zapewniających wsparcie przez IT realizacji celów przedsiębiorstwa 6

7 Nadzór IT vs. zarządzanie IT IT governance is not about making specific IT decisions management does that but rather determines who systematically makes and contributes to those decisions. Źródło: Weill, P. & Ross, J. W., 2004, IT Governance:How Top Performers Manage IT Decision Rights for Superior Results', Harvard Business School Press, Boston IT Governance: definiuje system IT Management: realizuje system 7

8 Dlaczego nadzór IT jest ważny? Dobry nadzór IT się opłaca 20% większa rentowność przedsiębiorstwa 40% większe ROI z inwestycji IT IT jest kosztowne IT przenika prawie każdy aspekt działalności przedsiębiorstwa Nowe technologie stwarzają wiele okazji i zagrożeń Nadzór IT ma krytyczną rolę w poznawaniu wartości IT Wartość IT nie zależy wyłącznie od samej technologii Zarząd ma ograniczoną przepustowość Liderzy nadzorują IT inaczej niż pozostałe firmy 8

9 Symptomy nieefektywnego nadzoru IT Naczelne kierownictwo odczuwa niską wartość z inwestycji IT IT jest często barierą w implementacji nowych strategii Mechanizmy podejmowania decyzji w zakresie IT są powolne i sprzeczne Naczelne kierownictwo nie potrafi opisać nadzoru IT Projekty IT często przekraczają budżet i harmonogram Naczelnie kierownictwo postrzega outsourcing IT jako szybkie rozwiązanie problemów z IT Nadzór IT często ulega zmianom 9

10 Obszary nadzoru IT 10

11 Obszary nadzoru IT Nadzór IT koncentruje się na dwóch głównych obszarach: dostarczaniu wartości przez IT dla biznesu oraz ograniczaniu ryzyka związanego z IT Wartość dostarczana przez IT wynika ze stopnia dopasowania IT do strategii przedsiębiorstwa, natomiast ograniczanie ryzyka IT opiera się na mechanizmach ustalania odpowiedzialności za podejmowane decyzje Oba te obszary wymagają wsparcia ze strony odpowiednich zasobów IT, takich jak ludzie, pieniądze, informacje, aplikacje czy infrastruktura. Powinny być również systematycznie mierzone, żeby zapewnić osiąganie założonych celów Ostatecznie otrzymujemy pięć obszarów nadzoru IT, do zarządzania którymi punktem wyjścia są cele stawiane przez interesariuszy 11

12 Obszary nadzoru IT c.d. Dostarczanie wartości przez IT Zarządzanie zasobami IT Dopasowanie strategiczne IT Wartości i cele interesariuszy Zarządzanie ryzykiem IT Pomiar wydajności IT Źródło: IT Governance Institute 12

13 Dopasowanie strategiczne IT - definicja i zakres Dopasowanie biznes-it to zastosowanie IT w odpowiedni sposób i w odpowiednim czasie, w harmonii ze strategią, celami i potrzebami biznesu Definicja ta obejmuje zarówno dopasowanie IT do biznesu (czyli wsparcie przez IT realizacji strategii biznesu), jak i sytuację odwrotną, gdy umiejętne zastosowane IT modyfikuje strategię firmy i staje się podstawą budowy nowych wyróżniających kompetencji Dojrzałe dopasowanie ewoluuje zatem w kierunku relacji, w której IT i inne jednostki biznesowe wspólnie dopasowują swoje strategie 13

14 Dopasowanie strategiczne IT - stan obecny w wielu firmach Planowanie IT nie jest powiązane z wymaganiami wynikającymi ze strategii całego przedsiębiorstwa, lecz jest podporządkowane taktycznym potrzebom poszczególnych jednostek biznesowych Rezultat naczelne kierownictwo nie widzi powiązania wydatków na IT z realizacją celów strategicznych przedsiębiorstwa zwrot z inwestycji w IT jest niezadowalający 14

15 Dopasowanie strategiczne IT - stan docelowy Strategia przedsiębiorstwa jest przetłumaczona na stwierdzenia, które IT zrozumie (tzw. intencje strategiczne) Występuje strategiczne planowanie popytu i podaży IT, które pozwala z jednej strony opisać zapotrzebowanie na usługi IT generowane przez cele strategiczne przedsiębiorstwa, a z drugiej strony opisać przyszłą podaż usług IT Rezultat menedżerowie biznesowi i IT osiągają konsensus w kwestii kierunku rozwoju przedsiębiorstwa oraz tego, jak IT może ten rozwój wspomagać wzrasta efektywność inwestycji w IT, będącą pochodną większego przełożenia wydatków na IT na realizację strategii przedsiębiorstwa 15

16 Dopasowanie strategiczne IT c.d. Jest raczej podróżą niż miejscem przeznaczenia Jest złożonym procesem, który nigdy się nie kończy Polega na poruszaniu się w dobrym kierunku i byciu lepiej dopasowanym niż konkurenci Oznacza zarówno dopasowanie strategii jak i operacji IT do strategii przedsiębiorstwa 16

17 Dopasowanie strategiczne IT zadania dla zarządzających Zapewnianie dopasowania strategii IT do strategii przedsiębiorstwa i odpowiedniej dystrybucji strategii (kaskadowanie) Zapewnienie, iż IT dostarcza zakładane efekty (dostawy na czas i w budżecie, z odpowiednią funkcjonalnością i zakładanymi korzyściami) poprzez jasno określone oczekiwania i miary Bilansowanie inwestycji pomiędzy systemy, które wspomagają przedsiębiorstwo w jego obecnej postaci, a te, które przekształcają przedsiębiorstwo lub tworzą infrastrukturę, która umożliwia firmie wzrost i konkurowanie w nowych obszarach Skupienie się na jak najefektywniejszym wykorzystaniu posiadanych zasobów 17

18 Dostarczanie wartości przez IT Główną miarą wartości IT są dostawy produktów, lub świadczenie usług: na czas w założonym budżecie w odpowiedniej jakości, oraz z osiągnięciem zakładanych korzyści, tj. przewaga konkurencyjna, satysfakcja klientów, przyspieszenie wejścia na rynek, skrócony czas realizacji zamówień, zwiększona produktywność pracowników, większa zyskowność etc. Wartość, którą IT dodaje do biznesu, jest uzależniona od stopnia, w jakim IT jest dopasowane do strategii przedsiębiorstwa Do efektywnego zarządzania IT zarówno koszty jak i zwroty z inwestycji muszą być zarządzane 18

19 Dostarczanie wartości przez IT c.d. Dzięki dopasowaniu do strategii przedsiębiorstwa IT dostarcza wartość w dwojaki sposób: poprzez wspomaganie działalności przedsiębiorstwa (funkcja usługowa), dostarczając produkty na czas, z odpowiednią funkcjonalnością i pozwalające osiągać zakładane korzyści biznesowe poprzez umożliwianie przedsiębiorstwu rozwoju (funkcja innowacyjna), poprzez umożliwienie wchodzenia na nowe rynki, zwiększanie przychodów, poprawianie satysfakcji klientów, wspomagając strategie konkurencyjne 19

20 Zarządzanie zasobami IT Kluczem do wydajności IT są: optymalne inwestycje, oraz optymalne wykorzystanie i alokowanie posiadanych zasobów i zdolności IT (ludzie, aplikacje, technologie, urządzenia, dane) w procesie świadczenia usług dla biznesu Zarówno nowe inwestycje, jak i wydatki na bieżącą działalność IT muszą być dopasowane do potrzeb wynikających ze strategii przedsiębiorstwa Wyższy priorytet (i większe zasoby) powinny uzyskiwać inicjatywy o większej wartości dla biznesu W ostatnich latach dodatkowym wyzwaniem stał się outsourcing IT przedsiębiorstwa muszą wiedzieć co zlecać na zewnątrz i jak później zarządzać tymi usługami, tak by osiągać obiecaną wartość przy akceptowanym poziomie kosztów 20

21 Zarządzanie ryzykiem IT Zarządzanie ryzykiem IT obejmuje ryzyka związane z zastosowaniem technologii informacyjnych w przedsiębiorstwie, m.in. zabezpieczenie zasobów IT, odzyskiwanie danych po awarii czy też zapewnienie ciągłości działania Do skutecznego zarządzania ryzykiem IT zarządzający przedsiębiorstwem muszą rozumieć jakie jest nastawienia przedsiębiorstwa do ryzyka, znać wymagania regulacyjne, być świadomym głównych ryzyk oraz swojej odpowiedzialności za ryzyko 21

22 Pomiar wydajności IT Polega na śledzeniu realizacji projektów oraz monitorowaniu procesu świadczenia usług Korzyści z pomiaru Lepsze usługi Bardziej efektywna alokacja zasobów Polepszona wydajność systemów Większa produktywność pracowników Promowanie kultury organizacji nastawionej na osiąganie lepszych rezultatów 22

23 Obiektywne miary wydajności IT Łatwo je zmierzyć Można je użyć do porównań między przedsiębiorstwami Przykłady Udział wydatków na IT w przychodach Udział wydatków na działalność operacyjną IT w całości wydatków na IT Wysokość wydatków na IT w przeliczeniu na pracownika Liczba komputerów przypadająca na pracownika Średni czas oczekiwania na połączenie z Help Deskiem Liczba aplikacji starszych niż 3 lata Udział kosztów utrzymania oprogramowania w całości wydatków na IT 23

24 Subiektywne miary wydajności IT Odzwierciedlają oczekiwania interesariuszy Trudne do pomiaru Umożliwiają pomiar potrzeb biznesowych, tj. funkcjonalność, jakość, efektywność kosztowa etc. Nie nadają się do porównań między przedsiębiorstwami Przykłady Odpowiedniość, dostępność, niezawodność, bezpieczeństwo Funkcjonalność Poziom jakości Dopasowanie do potrzeb biznesowych 24

25 Nadzór IT implementacja w przedsiębiorstwach 25

26 Budowa nadzoru IT Główne pytania Jakie decyzje muszą zostać podjęte, by zapewnić efektywne zarządzanie i wykorzystanie IT? Kto powinien podejmować te decyzje? W jaki sposób te decyzje będą podejmowane i monitorowane? Standardy i narzędzia ISO/IEC 38500:2008 COBIT [IT Governance Institute] VAL IT 2.0 [IT Governance Institute] Matryca nadzoru IT Weilla i Ross Usługowy model nadzoru IT 26

27 ISO/IEC 38500: wprowadzenie Czym jest ISO/IEC 38500:2008? It is a high level, principles based advisory standard. In addition to providing broad guidance on the role of a governing body, it encourages organizations to use appropriate standards to underpin their governance of IT. Cel Dostarczenie zbioru zasad umożliwiających zarządzającym ewaluację (evaluating), ukierunkowanie (directing) i monitorowanie (monitoring) wykorzystania IT w organizacji oraz zrozumienie i wypełnianie ich obowiązków prawnych, regulacyjnych i etycznych. Co obejmuje? Definicje, zasady i model Remigiusz Orzechowski - Standard ISO/IEC 38500:

28 ISO/IEC 38500: zasady Principle 1: Responsibility Principle 2: Strategy Principle 3: Acquisition Principle 4: Performance Principle 5: Conformance Principle 6: Human Behaviour Remigiusz Orzechowski - Standard ISO/IEC 38500:

29 ISO/IEC 38500: model 29

30 Wykorzystanie COBITu do projektowania nadzoru IT Źródło: COBIT 30

31 Wykorzystanie Val IT 2.0 do projektowania nadzoru IT Źródło: Val IT

32 Matryca nadzoru IT Weilla i Ross 32

33 Decyzje Główne zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT 33

34 Główne zasady IT Zestaw powiązanych ze sobą głównych zasad określających jak IT powinno być stosowane w przedsiębiorstwie Zasady te wyjaśniają rolę IT w przedsiębiorstwie, mogą również służyć do edukacji zarządu w zakresie strategii IT i zasad podejmowania decyzji w zakresie inwestycji IT Przykłady: dążenie do najniższego TCO zintegrowana architektura elastyczna infrastruktura szybki rozwój nowych aplikacji pomiar i podnoszenie wartości inwestycji IT dążenie do jak najlepszego dopasowania strategii IT do strategii przedsiębiorstwa 34

35 Architektura IT Logika danych, aplikacji i infrastruktury zebrana w formie zestawu polityk, zależności i wyborów technicznych/technologicznych w celu osiągnięcia pożądanej biznesowej i technologicznej standaryzacji i integracji Obejmuje definiowanie wymagań w zakresie integracji i standaryzacji architektury IT, wynikających z przyjętych głównych zasad IT 35

36 Strategie w zakresie infrastruktury IT Definiowanie centralnie koordynowanych usług współdzielonych IT, wykorzystywanych przez różne aplikacje, stanowiących fundamenty zdolności / możliwości IT w przedsiębiorstwie, zarówno w zakresie technologii jak i ludzi Przykłady: aplikacje współdzielone bazy danych sieci komputery drukarki systemy operacyjne 36

37 Potrzeby w zakresie aplikacji biznesowych Określanie wymagań biznesowych odnośnie kupowanych lub rozwijanych wewnętrznie aplikacji IT Przeciwstawne cele: kreatywność identyfikacja nowych i bardziej ekonomicznych sposobów dostarczania wartości dla klienta z wykorzystaniem IT dyscyplina zapewnienie integracji architektury 37

38 Inwestycje IT Ile wydawać na IT? Na co wydawać? Wybór najlepszych z dostępnych propozycji inwestycji W jakiej kolejności? Priorytetyzacja, dopasowanie do strategicznych celów przedsiębiorstwa 38

39 Relacje między grupami decyzji Powyższe grupy decyzji są od siebie zależne i powinny być połączone by zapewnić efektywny nadzór IT Decyzje w zakresie zasad IT wpływają na kształt architektury IT, która z kolei wyznacza politykę w zakresie wyboru infrastruktury IT. Infrastruktura natomiast wyznacza ramy budowy i funkcjonowania aplikacji biznesowych. Ostatecznie podejmowanie decyzji w zakresie wyboru określonej inwestycji IT i priorytetowania inwestycji w ramach określonego portfela projektów wymaga uwzględnienia wszystkich poprzednich grup decyzji, rozpoczynając od zasad IT, a kończąc na zapotrzebowaniu na aplikacje biznesowe 39

40 Decydenci Kto dostarcza informacji do podjęcia decyzji? Kto podejmuje decyzje? Archetypy władzy Monarchia biznesowa Monarchia IT Feudalny Federalny Duopol Anarchia 40

41 Archetypy władzy Monarchia biznesowa Zarząd (CxOs) lub pojedynczy członkowie zarządu Obejmuje także komitety, w skład których wchodzą członkowie zarządu i dyrektor IT (CIO) Nie obejmuje dyrektora IT działającego samodzielnie Monarchia IT Dyrektor IT lub grupa menedżerów IT Feudalny Szefowie jednostek biznesowych, właściciele głównych procesów lub ich delegowani Federalny Zarząd (lub pojedynczy członkowie zarządu) wspólnie z szefami jednostek biznesowych lub właścicielami głównych procesów 41

42 Archetypy władzy c.d. Duopol IT Dyrektor IT wspólnie z jedną z następujących grup: zarząd (lub pojedynczy członkowie zarządu) szefowie jednostek biznesowych właściciele głównych procesów Anarchia Każdy użytkownik (lub grupa użytkowników) samodzielnie, w oparciu o lokalne potrzeby 42

43 Archetypy władzy wybór Większość przedsiębiorstw wykorzystuje różne archetypy do podejmowania decyzji w ramach poszczególnych grup, co w efekcie daje tysiące różnych kombinacji Nie istnieje gotowa recepta na idealny sposób podejmowania decyzji. Zawsze wymaga to uwzględnienia specyfiki przedsiębiorstwa i sektora, w którym ono funkcjonuje 43

44 Najlepsze wzorce w zakresie nadzoru IT DECYZJE Zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT Monarchia biznesowa Monarchia IT ARCHETYPY Feudalny Federalny Duopol Anarchia Nie wiem Źródło: Weil, Ross 44

45 Nadzór IT u liderów wzrostu, zyskowności i ROA DECYZJE Zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT Decyzja Decyzja Decyzja Decyzja Decyzja Monarchia biznesowa ZYSK WZROST ZYSK ZYSK WZROST ZYSK WZROST Monarchia IT ZYSK ARCHETYPY Feudalny Federalny ZYSK WZROST Duopol ROA ROA ROA ROA ROA Anarchia Nie wiem Źródło: Weil, Ross 45

46 Mechanizmy nadzoru IT Efektywny nadzór IT w przedsiębiorstwie powinien stosować trzy grupy mechanizmów pozwalających na skuteczne podejmowanie decyzji i monitoring osiąganych rezultatów: struktury podejmowania decyzji procesy dopasowania strategicznego rozwiązania w zakresie komunikacji 46

47 Struktury podejmowania decyzji W ramach struktur podejmowania decyzji znajdować się mogą różnego rodzaju jednostki organizacyjne, o różnorodnych rolach i zakresie odpowiedzialności za podejmowane decyzje Przykłady: komitety zespoły tworzone przez menedżerów wyższego szczebla menedżerowie zarządzający relacjami IT-biznes 47

48 Struktury podejmowania decyzji - efektywność Efektywność struktur podejmowania decyzji 4 3,5 3 2,5 2 1,5 1 0,5 0 3,9 3,8 3,7 3,5 3,4 Ocena w skali od 1 do 5 3,1 3,1 Menedżerowie zarządzający relacjami ITbiznes Komitet liderów IT Rada IT składająca się z menedżerów biznesowych i IT wyższego szczebla Komitet składający się z menedżerów wyższego szczebla Zespoły procesowe z członkami z obszaru IT Komitet ds. architektury Komitet ds. zatwierdzania wydatków inwestycyjnych Źródło: Weil, Ross 48

49 Procesy dopasowania strategicznego Procesy dopasowania strategicznego mają za zadanie zapewnić, że codzienne czynności z obszaru IT są zbieżne z politykami IT oraz dostarczają informacji niezbędnych do podejmowania decyzji z obszaru IT Przykłady: procesy oceny efektywności inwestycji IT umowy gwarantujące jakość świadczonych usług przez IT (SLA Service Level Agreements) pomiar wydajności IT 49

50 Procesy dopasowania strategicznego - efektywność Efektywność procesów dopasowania strategicznego 3,5 3 2,5 2 1,5 1 0,5 3,4 3,2 2,9 2,8 Śledzenie przebiegu projektów IT i wykorzystania zasobów IT Umowy SLA Formalne śledzenie wartości biznesowej dostarczanej przez IT Naliczanie opłat za usługi IT (chargeback) 0 Ocena w skali od 1 do 5 Źródło: Weil, Ross 50

51 Rozwiązania w zakresie komunikacji Rozwiązania w zakresie komunikacji służą do rozpowszechniania w przedsiębiorstwie zasad i polityk IT oraz wyników podejmowania decyzji w zakresie IT Przykłady: ogłoszenia kanały komunikacji rzecznicy działania w zakresie edukacji 51

52 Rozwiązania w zakresie komunikacji - efektywność Efektywność rozwiązań w zakresie komunikacji 4 3,5 3 2,5 2 1,5 1 0,5 0 3,6 3,2 2,9 2,9 Ocena w skali od 1 do 5 Biuro szefa IT lub biuro nadzoru IT Praca z menedżerami, którzy nie przestrzegają zasad Ogłoszenia menedżerów wyższego szczebla Portale internetowe i intranetowe Źródło: Weil, Ross 52

53 Usługowy model nadzoru IT 53

54 Generatory wartości IT dla przedsiębiorstwa Właściwa usługa zaprojektowanie i zbudowanie usługi IT optymalnie dopasowanej swoim zakresem, jakością i kosztem do wymagań klienta, uwzględniając jednocześnie jej powiązanie z innymi funkcjonującymi i planowanymi usługami IT Właściwe świadczenie usługi zdolność organizacji IT do dostarczania usługi IT na określonym poziomie jakości Właściwe wykorzystywanie usługi odpowiednie przygotowanie użytkowników usług i organizacji, w której funkcjonują ci użytkownicy, do właściwego wykorzystywania usług IT 54

55 Fazy cyklu zarządzania wartością IT 55

56 Obszary usługowego modelu nadzoru IT Zapotrzebowanie na usługi IT Finansowanie usług IT Uzasadnienie biznesowe dla usług IT Nadzór IT Przygotowanie i świadczenie usług IT Analiza portfelowa inwestycji w usługi IT Architektura IT 56

57 Referencyjny model odpowiedzialności Rozkład odpowiedzialności Obszary podejmowania decyzji Menedżerowie Zarząd biznesowi Menedżerowie IT Zapotrzebowanie na usługi IT Zgłoszenie potrzeb w zakresie IT X X X Uzasadnienie biznesowe dla usług IT Analiza potencjalnych wydatków IT X Analiza potencjalnych korzyści biznesowych X Analiza portfelowa inwestycji w usługi IT Analiza proponowanej inwestycji w usługę IT w X kontekście portfela usług IT Podjęcie decyzji o inwestycji X Architektura IT Określenie wymagań biznesowych w zakresie architektury IT X X Podjęcie decyzji w zakresie zasad i standardów X architektury IT Przygotowanie i świadczenie usług IT Przygotowanie i świadczenie usług IT X Finansowanie usług IT Analiza kosztów usług IT X Finansowanie usług IT X X 57

58 Pomiar dojrzałości mechanizmów nadzoru IT Poziomy dojrzałości: poziom 0 mechanizm nie funkcjonuje lub funkcjonuje niepoprawnie, poziom 1 mechanizm funkcjonuje poprawnie w wybranych obszarach, poziom 2 mechanizm funkcjonuje poprawnie we wszystkich obszarach. 58

59 Charakterystyka liderów w zakresie nadzoru IT Większa liczba menedżerów wyższych szczebli potrafi opisać nadzór IT Dobra komunikacja i wysokie zaangażowanie Większe bezpośrednie zaangażowanie menedżerów wyższych szczebli w nadzór IT Ściślej (jaśniej) określone cele inwestycji IT Częściej stosują strategie ukierunkowane na wartość (np. częściej bliskie stosunki z klientami i przywództwo produktowe, a rzadziej doskonałość operacyjna) Mniej nieplanowanych odstępstw w zakresie integracji architektury IT Mniejszy zakres zmian w nadzorze IT z roku na rok 59

60 Wnioski z badań nadzoru IT w Polsce 60

61 Badania IT Governance w Polsce 2008 IT Governance w Polsce

62 Nadzór IT w Polsce wybrane wnioski z badań 62

63 Charakterystyka próby badawczej rozkład ze względu na formę własności 14% 36% Prywatna 18% Zagraniczna Mieszana Państwowa 32% 63

64 Charakterystyka próby badawczej rozkład ze względu na przynależność do sektora 3% 40% Przemysł Usługi 57% Finanse 64

65 ARCHETYPY Szkoła Główna Handlowa w Warszawie Typowa matryca nadzoru IT wśród polskich firm DECYZJE Zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT info decyzja info decyzja info decyzja info decyzja Info decyzja Monarchia biznesowa Monarchia IT Feudalny Federalny Duopol Anarchia Nie wiem

66 ARCHETYPY Szkoła Główna Handlowa w Warszawie Porównanie matryc nadzoru IT u liderów wzrostu w Polsce i na świecie DECYZJE Zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT decyzja decyzja decyzja decyzja decyzja Monarchia biznesowa ŚWIAT ŚWIAT ŚWIAT Monarchia IT POLSKA Feudalny ŚWIAT Federalny POLSKA POLSKA POLSKA POLSKA Duopol Anarchia Nie wiem 66

67 ARCHETYPY Szkoła Główna Handlowa w Warszawie Porównanie matryc nadzoru IT u liderów ROE w Polsce i na świecie DECYZJE Zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT decyzja decyzja decyzja decyzja decyzja Monarchia biznesowa ŚWIAT ŚWIAT ŚWIAT ŚWIAT Monarchia IT Feudalny ŚWIAT Federalny POLSKA POLSKA POLSKA POLSKA POLSKA Duopol Anarchia Nie wiem 67

68 ARCHETYPY Szkoła Główna Handlowa w Warszawie Porównanie matryc nadzoru IT u liderów ROA w Polsce i na świecie DECYZJE Zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT decyzja decyzja decyzja decyzja decyzja Monarchia biznesowa Monarchia IT Feudalny POLSKA Federalny POLSKA POLSKA POLSKA POLSKA Duopol ŚWIAT ŚWIAT ŚWIAT ŚWIAT ŚWIAT Anarchia Nie wiem 68

69 Wzorce nadzoru IT w Polsce DECYZJE Zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT decyzja decyzja decyzja decyzja decyzja Monarchia biznesowa Monarchia IT ARCHETYPY Feudalny Federalny Duopol Anarchia Nie wiem 69

70 Wzorce nadzoru IT na świecie DECYZJE Zasady IT Architektura IT Strategie w zakresie infrastruktury IT Potrzeby w zakresie aplikacji biznesowych Inwestycje IT decyzja decyzja decyzja decyzja Decyzja Monarchia biznesowa Monarchia IT ARCHETYPY Feudalny Federalny Duopol Anarchia Nie wiem 70

71 Nadzór IT w Polsce 2008 wnioski Polskie przedsiębiorstwa stosują archetypy podejmowania decyzji charakteryzujące się małą efektywnością i dużym ryzykiem nieosiągnięcia celów biznesowych Liderzy wzrostu przychodów, efektywności zainwestowanego kapitału (ROE) oraz zwrotu z aktywów (ROA) stosowali dość podobne rozwiązania w zakresie nadzoru IT w porównaniu do pozostałych firm Zachowania polskich firm są odmienne od tendencji występujących w rozwiniętych gospodarkach krajów Unii Europejskiej i USA 71

72 Nadzór IT w Polsce 2008 wnioski c.d. Wraz ze wzrostem roli IT (od konserwatywnej do innowacyjnej): zmienia się struktura podejmowania decyzji: monarchia IT ustępuje miejsca archetypowi federalnemu maleje odsetek firm nieposiadających zasad odnośnie dostarczania informacji w zakresie wyboru aplikacji biznesowych. Nadal jednak w istotnym odsetku przedsiębiorstw (14%), w przypadku innowacyjnej roli IT, kreatywne wykorzystywanie technologii jest powiązane z brakiem reguł postępowania w zakresie dostarczania informacji w obszarze architektury Wraz ze wzrostem poziomu zarządzania IT (od dostawcy technologii do partnera w tworzeniu wartości przedsiębiorstwa) nie zaobserwowano istotniejszych zmian w zakresie nadzoru IT. Zmniejsza się jednak odsetek firm nieposiadających reguł w zakresie dostarczania informacji odnośnie wyboru aplikacji biznesowych 72

73 Nadzór IT w Polsce wybrane wnioski z badań 73

74 Charakterystyka badanych przedsiębiorstw Przynależność do sektora Forma własności Czy przedsiębiorstwo jest spółką publiczną? Czy w przedsiębiorstwie zostały określone i są stosowane zasady nadzoru/ładu korporacyjnego? 74

75 Rozkład próby badawczej ze względu na przynależność przedsiębiorstwa do określonego sektora 3,8% 45,3% finanse przemysł 50,9% usługi 75

76 Rozkład próby badawczej ze względu na formę własności przedsiębiorstwa własność państwowa Skarbu Państwa 30,2% 18,9% 1,9% 1,9% własność państwowa państwowych osób prawnych własność komunalna własność prywatna 47,2% własność zagraniczna 76

77 Czy badane przedsiębiorstwo jest spółką publiczną? 3,8% nie 20,8% tak, spółka notowana na Giełdzie Papierów Wartościowych w Warszawie 75,5% tak, spółka notowana na New Connect 77

78 Czy w przedsiębiorstwie zostały określone i są stosowane zasady nadzoru/ładu korporacyjnego? 20,8% tak 26,4% 52,8% nie nie wiem 78

79 Stosowanie zasad nadzoru korporacyjnego i nadzoru IT Zasady nadzoru IT Są określone i stosowane Nie są określone Nie wiem Zasady nadzoru korporacyjnego Są określone i stosowane 28% 9% 15% Nie są określone 4% 23% 0% Nie wiem 4% 2% 15% 79

80 Wyniki analizy dojrzałości nadzoru IT w obszarze Zapotrzebowanie na IT 80

81 Jaką formę przyjmuje zgłoszenie przez biznes potrzeby w zakresie IT? 0,0% 7,5% ogólny opis potrzeby 15,1% parametry funkcjonalne usługi IT 22,6% 54,7% parametry funkcjonalne i jakościowe usługi IT rozwiązanie IT w zakresie aplikacji rozwiązania IT w zakresie aplikacji i infrastruktury 81

82 Czy istnieją w organizacji IT osoby zajmujące się doprecyzowaniem potrzeb biznesowych w zakresie IT? nie 37,7% 30,2% tak, dla zgłoszeń od najważniejszych jednostek biznesowych/procesów biznesowych 32,1% tak, dla wszystkich zgłoszeń 82

83 Wyniki analizy dojrzałości nadzoru IT w obszarze Uzasadnienie biznesowe dla usług IT 83

84 Czy przed podjęciem decyzji o wprowadzeniu nowej usługi IT, lub dużej zmiany w istniejącej usłudze IT, analizowane są związane z nią wydatki inwestycyjne i operacyjne? 15,1% nie 37,7% tak, obliczane są wydatki inwestycyjne 47,2% tak, obliczane są wydatki inwestycyjne oraz operacyjne 84

85 Kto przeprowadza analizy wydatków inwestycyjnych i operacyjnych związanych z budową nowej usługi IT lub wprowadzeniem zmiany do usługi istniejącej? 18,9% 7,5% nikt, nie prowadzi się takich analiz 17,0% zarząd menedżerowie biznesowi 11,3% menedżerowie IT 45,3% brak stałych zasad 85

86 Czy przed podjęciem decyzji o wprowadzeniu nowej usługi IT, lub dużej zmiany w istniejącej usłudze IT, analizowane są potencjalne korzyści dla przedsiębiorstwa wynikające z wykorzystania takiej usługi? 13,2% nie 24,5% tak, analizowane są głównie korzyści jakościowe 62,3% tak, analizowane są zarówno korzyści jakościowe, jak i ilościowe (finansowe) 86

87 Kto przeprowadza analizę potencjalnych korzyści dla przedsiębiorstwa wynikających z wprowadzenia/zmiany usługi IT? 20,8% 7,5% 22,6% nikt, nie prowadzi się takich analiz zarząd menedżerowie biznesowi 26,4% 22,6% menedżerowie IT brak stałych zasad 87

88 Wyniki analizy dojrzałości nadzoru IT w obszarze Analiza portfelowa inwestycji w usługi IT 88

89 Czy przed podjęciem decyzji o wprowadzeniu nowej usługi IT, lub dużej zmiany w istniejącej usłudze IT, przeprowadzana jest analiza proponowanej inwestycji w kontekście portfela usług IT? 9,4% 37,7% nie, nie prowadzi się takich analiz tak, ale tylko dla największych inwestycji 52,8% tak, dla wszystkich inwestycji 89

90 Kto przeprowadza analizę proponowanej inwestycji w kontekście portfela usług IT? 15,1% nikt, nie prowadzi się takich analiz 35,8% zarząd 20,8% menedżerowie biznesowi menedżerowie IT 15,1% 13,2% brak stałych zasad 90

91 Kto, po przeprowadzeniu ewentualnych analiz ekonomicznych, ostatecznie podejmuje decyzję o wprowadzeniu nowej usługi IT, lub dużej zmiany w istniejącej usłudze IT? 1,9% 7,5% 9,4% 7,5% zarząd menedżerowie biznesowi menedżerowie IT użytkownicy 73,6% brak stałych zasad 91

92 Wyniki analizy dojrzałości nadzoru IT w obszarze Architektura IT 92

93 Czy architektura w IT (rozumiana jako logika danych, aplikacji i infrastruktury zebrana w formie zestawu polityk, zależności i wyborów technicznych/technologicznych w celu osiągnięcia pożądanej biznesowej i technologicznej standaryzacji i integracji) została opisana i jest przestrzegana? 20,8% 28,3% nie 50,9% tak, dla najważniejszych usług/systemów IT tak, dla wszystkich usług/systemów IT 93

94 Kto podejmuje decyzje w zakresie zasad i standardów architektonicznych w IT? 0,0% 11,3% 7,5% nikt, nie są podejmowane takie decyzje zarząd 15,1% 1,9% menedżerowie biznesowi menedżerowie IT 64,2% użytkownicy brak stałych zasad 94

95 Kto jest konsultowany przed podjęciem decyzji w zakresie zasad i standardów architektonicznych w IT? 70,0% 60,0% 58,5% 50,0% 40,0% 43,4% 49,1% 30,0% 26,4% 20,0% 15,1% 10,0% 7,5% 0,0% nikt, nie są przeprowadzane takie konsultacje zarząd menedżerowie biznesowi menedżerowie IT użytkownicy brak stałych zasad 95

96 Wyniki analizy dojrzałości nadzoru IT w obszarze Przygotowanie i świadczenie usług IT 96

97 Czy parametry związane z funkcjonalnością usług IT są jasno określone i uzgodnione z klientami tych usług? 11,3% 32,1% nie tak, dla najważniejszych usług IT 56,6% tak, dla wszystkich usług IT 97

98 Czy parametry związane z gwarancją usług IT są jasno określone i uzgodnione z klientami tych usług? 22,6% 26,4% nie tak, dla najważniejszych usług IT tak, dla wszystkich usług IT 50,9% 98

99 Czy parametry związane z funkcjonalnością usług wspierających są jasno określone i uzgodnione z osobami odpowiedzialnymi za świadczenie kompletnej usługi IT? 20,8% 28,3% nie 50,9% tak, dla najważniejszych usług wspierających tak, dla wszystkich usług wspierających 99

100 Czy parametry związane z gwarancją usług wspierających są jasno określone i uzgodnione z osobami odpowiedzialnymi za świadczenie kompletnej usługi IT? 18,9% 28,3% nie 52,8% tak, dla najważniejszych usług wspierających tak, dla wszystkich usług wspierających 100

101 Wyniki analizy dojrzałości nadzoru IT w obszarze Finansowanie usług IT 101

102 Czy wyliczane są koszty usług IT? 26,4% 35,8% nie tak, wyliczane są koszty IT w podziale na klientów 37,7% tak, wyliczane są koszty IT w podziale na usługi i klientów 102

103 Kto przeprowadza analizę kosztów usług IT? 13,2% nikt, nie prowadzi się takich wyliczeń 30,2% zarząd menedżerowie biznesowi 32,1% menedżerowie IT 18,9% 5,7% brak stałych zasad 103

104 W jaki sposób usługi IT są finansowane? z ogólnego budżetu organizacji IT 15,1% 32,1% z budżetu jednostek biznesowych, na podstawie rozliczenia kosztów wykorzystanych usług IT 32,1% z centralnego budżetu przedsiębiorstwa 20,8% różnie, brak zasad 104

105 Ogólne wnioski z analizy dojrzałości nadzoru IT Najbardziej dojrzały obszar nadzoru IT Uzasadnienie biznesowe dla usług IT Obszary nadzoru IT o średniej dojrzałości Przygotowanie i świadczenie usług IT Architektura IT Finansowanie usług IT Obszary nadzoru IT o najniższej dojrzałości Zapotrzebowanie na usługi IT Analiza portfelowa inwestycji w usługi IT 105

106 Wnioski z analizy dojrzałości nadzoru IT w zależności od czynników charakteryzujących przedsiębiorstwo Przedsiębiorstwa z udziałem kapitału zagranicznego osiągnęły największą dojrzałość we wszystkich obszarach nadzoru IT. Przedsiębiorstwa notowane na New Connect osiągnęły największą dojrzałość we wszystkich obszarach nadzoru IT, oprócz Przygotowania i świadczenia usług IT, gdzie najlepsze okazały się spółki notowane na GPW. Przedsiębiorstwa stosujące zasady ładu korporacyjnego osiągnęły największą dojrzałość we wszystkich obszarach nadzoru IT. 106

107 Wnioski z analizy dojrzałości nadzoru IT w zależności od czynników charakteryzujących organizacje IT w przedsiębiorstwach Największą dojrzałość nadzoru IT osiągnęły przedsiębiorstwa, w których IT ma istotną i innowacyjną rolę w strategii firmy. Biorąc pod uwagę charakter relacji biznesu i organizacji IT, największą dojrzałość nadzoru IT osiągnęły przedsiębiorstwa, w których organizacja IT jest dostawcą usług lub partnerem biznesu. Przedsiębiorstwa stosujące selektywny outsourcing osiągnęły największą dojrzałość nadzoru IT we wszystkich obszarach, oprócz Zapotrzebowania na usługi IT, gdzie najlepsze okazały się spółki stosujące pełen outsourcing IT. 107

108 Nadzór IT w Polsce 2009 podsumowanie W wielu przypadkach największe polskie przedsiębiorstwa nie są przygotowane do zmiany sposobu zarządzania IT, polegającego na odejściu od dostawy produktów IT do dostarczania wartości biznesowi w formie usług IT. Niedoskonałości występują zarówno w obszarze podziału odpowiedzialności między menedżerami biznesowymi i IT, jak i w zakresie dojrzałości mechanizmów nadzoru IT, wymaganych do efektywnego zarządzania usługami IT. 108

109 Budowa programu transformacji IT Governance 109

110 110 Źródło: ITGI

111 Od nadzoru IT do nadzoru informacyjnego 111

112 Definicja nadzoru informacyjnego Nadzór informacyjny określa zasady w zakresie podziału odpowiedzialności za zarządzanie informacją i zarządzanie technologią informacyjną w organizacji oraz w zakresie mechanizmów zarządczych, które powinny być stosowane, w celu zapewnienia efektywnego wykorzystania informacji i technologii informacyjnych do realizacji celów organizacji. 112

113 Model nadzoru informacyjnego 113

114 Podsumowanie Nadzór IT koncentruje się na dwóch głównych obszarach: dostarczaniu wartości przez IT dla biznesu oraz ograniczaniu ryzyka związanego z IT Efektywny nadzór IT musi dostarczać odpowiedzi na trzy podstawowe pytania: Jakie decyzje muszą zostać podjęte, by zapewnić efektywne zarządzanie i wykorzystanie IT? Kto powinien podejmować te decyzje? W jaki sposób te decyzje będą podejmowane i monitorowane? Wartość dostarczana biznesowi przez IT wynika przede wszystkim ze stopnia dopasowania biznes-it 114

115 Literatura uzupełniająca Nowell R., Wilson G., A Premium for Good Governance, McKinsey Quarterly, nr 3 (2002), str IT Governance Institute, Board Briefing on IT Governance, 2nd Edition, 2003 COBIT 4.1, IT Governance Institite Global Investor Opinion Survey, McKinsey & Company, lipiec 2002 ISO/IEC 38500:2008 IT Governance Global Status Report 2006 IT Governance Global Status Report 2008 IT Governance Implementation Guide, 2nd Edition Weil P., Ross J.: IT Governance. How Top Performers Manage IT Decision Rights for Superior Results. Harvard Business School Press, Boston 2004 Val IT 2.0, IT Governance Institute Zasady nadzoru korporacyjnego OECD (2004) 115

116 Dziękuję. Zapraszam do pytań. Kontakt: dr Remigiusz Orzechowski Szkoła Główna Handlowa w Warszawie remigiusz.orzechowski@sgh.waw.pl 116