Wybrane zagadnienia ładu informatycznego

Pełen tekst

(1)Zeszyty Naukowe nr 814. 2010. Uniwersytetu Ekonomicznego w Krakowie. Mariusz Grabowski Katedra Informatyki. Wybrane zagadnienia ładu informatycznego Streszczenie. Znaczny wzrost nasycenia współczesnych organizacji gospodarczych techniką informacyjną (IT) sprawia, że konieczna jest zmiana paradygmatu zarządzania sferą IT. Przedmiotem zarządzania nie są już wyizolowane pojedyncze, wsparte technologicznie systemy informacyjne (IT / IS), ale infrastruktura IT / IS, składająca się z wielu współdziałających ze sobą ogniw. Stworzenie sprawnych struktur i mechanizmów pozwalających na sprawne zarządzanie infrastrukturą IT / IS stanowi nie lada wyzwanie szczególnie wobec tego, że coraz powszechniej poświęca się uwagę ekonomicznej celowości i efektywności inwestycji w IT. Przedmiotem rozważań w niniejszym artykule jest dziedzina ładu informatycznego (IT governance) definiująca obszary decyzyjne oraz mechanizmy podejmujące i w dużej mierze rozwiązujące opisane problemy. Słowa kluczowe: IT governance, ład informatyczny, zarządzanie IT, wartość IT, strategiczne znaczenie IT, planowanie IT / IS.. 1. Wprowadzenie Na przełomie XX i XXI w. nabrały znaczenia dwie kwestie mające wpływ na postrzeganie znaczenia zastosowania techniki informacyjnej we wspomaganiu procesów biznesowych współczesnych organizacji gospodarczych i związanych z tym zagrożeń. Pierwsza z nich to krytyczne spojrzenie na problem efektywności inwestycji w sferę IT. Po okresie fascynacji możliwościami nowoczesnych technologii, których rozwój nabrał tempa zwłaszcza w drugiej połowie lat 90. XX w., związanymi przede wszystkim z dynamicznym rozwojem komercyjnych zastosowań Internetu, nastąpił okres, w którym na inwestycje w infrastrukturę informatyczną zaczęto patrzeć nieco bardziej krytycznie. Do najbardziej znaczących głosów owej krytyki należy niewątpliwie artykuł N. Carra [Carr 2003]. Autor, krytykując nadmierne inwestycje w sferę IT, posuwa się dalej i twierdzi, że IT z uwagi na.

(2) 20. Mariusz Grabowski. swoją powszechność nie stanowi już dłużej narzędzia zapewniającego przewagę konkurencyjną, co dotychczas było podkreślane w licznych publikacjach. N. Carr w miejsce rozmachu inwestycyjnego lat 90. proponuje: zmniejszyć wydatki, trzymać się za plecami innych oraz poświęcić uwagę przede wszystkim wadom inwestycji w sferze IT, a nie szansom, jakie niosą one ze sobą. Artykuł N. Carra spotkał się z dużą krytyką i choć nie można odmówić autorowi racji w kwestii zwiększenia czujności i dyscypliny w wydatkach, trudno się zgodzić z tezą o zaniku strategicznego znaczenia IT, gdyż ta ma ogromny potencjał dokonywania usprawnień organizacyjnych, a strategiczny wymiar IT jest związany nie tylko z dostępnością samych rozwiązań, lecz przede wszystkim z potencjałem innowacyjnym organizacji. To właśnie specyfika i kompetencja innowacyjna organizacji decyduje o tym, czy dane rozwiązanie przynosi korzyści czy straty. Druga grupa problemów jest związana z potrzebą kontroli środowiska IT mającej na celu eliminację ryzyka związanego z jego użyciem. Rozwój Internetu spowodował niespotykane dotąd zwiększenie dostępności systemów informacyjnych, a co za tym idzie, zwiększenie podatności systemów na zagrożenia związane z naruszeniem bezpieczeństwa zgromadzonych w nich danych. Atak terrorystyczny na World Trade Center w 2001 r. czy tsunami w 2004 r. unaoczniły skalę problemu związaną z potrzebą zapewnienia ciągłości działania. Z kolei afery na amerykańskim rynku korporacyjnym o niespotykanej dotąd skali, związane z fałszowaniem dokumentów finansowych, dotyczące takich firm jak Enron i Worldcom pokazały, że potrzebne są gruntowne zmiany legislacyjne, by zwiększyć zaufanie inwestorów do rynków finansowych. Najważniejszym krokiem w tym kierunku było uchwalenie w USA ustawy zwanej w skrócie od nazwisk jej twórców Sarbanes-Oxley Act of 2002 lub SOX [Sarbanes-Oxley Act... 2002]. Bezpośrednio odnosi się ona do amerykańskiego rynku korporacyjnego, pośrednio dotyczy jednak bardzo dużej liczby podmiotów gospodarczych na całym świecie, w tym w Polsce1. Jednym z głównych celów ustawy jest zwiększenie poziomu efektywności kontroli wewnętrznej. Choć sama ustawa (sekcja 404) nie wspomina explicite o konieczności objęcia systemem kontroli wewnętrznej sfery IT, rozszerzenie przedmiotu kontroli wewnętrznej o zasoby i procesy realizowane z użyciem techniki informacyjnej stało się koniecznością z uwagi na to, że obecnie we wszystkich firmach, których dotyczy ustawa, źródłem danych finansowych są systemy informatyczne. Zakres prac związanych z zapewnieniem efektywnego systemu kontroli wewnętrz-. 1. Ustawa dotyczy wszystkich spółek zależnych od spółek amerykańskich notowanych na amerykańskich giełdach papierów wartościowych oraz podmiotów zarejestrowanych w US Securities and Exchange Commission i (lub) działających poza Stanami Zjednoczonymi, ale notowanych na giełdach amerykańskich..

(3) Wybrane zagadnienia ładu informatycznego. 21. nej został zawarty w dokumencie wydanym przez PCAOB2 [Auditing Standard... 2004]. W dokumencie tym sprecyzowano zadania systemu kontroli wewnętrznej w zakresie zasobów i procesów wspieranych przez IT, a także zwrócono uwagę na konieczność zapewnienia ogólnych mechanizmów kontrolnych dotyczących IT, od których zależą te dotyczące sprawozdawczości finansowej. W dokumencie stwierdzona została konieczność zapewnienia ogólnych mechanizmów kontrolnych dla następujących procesów: rozwijanie oprogramowania, zarządzanie zmianami, operacje wspomagane komputerowo oraz dostęp do danych i oprogramowania. Wymienione uwarunkowania sprawiają, że coraz częściej dostrzega się konieczność kompleksowego podejścia do problematyki zapewnienia transparentnych mechanizmów zarządzania organizacjami, w jasny i precyzyjny sposób informujących udziałowców i interesariuszy o sytuacji ekonomicznej firmy. Po raz pierwszy w historii na tak dużą skalę z uwagi na jej powszechność i nieodzowność wymienione mechanizmy zaczynają również dotyczyć sfery IT. Dziedziną, która proponuje takie kompleksowe podejście do omawianej problematyki, jest IT governance. 2. Definicja pojęcia Termin IT governance nie ma jeszcze w języku polskim utrwalonego tłumaczenia. Człon IT nie nastręcza raczej problemów, bo występując w formie rzeczownika, oznacza „technikę informacyjną”, a w formie przymiotnika może być z pewnymi zastrzeżeniami tłumaczony jako „informatyczny”, człon governance jednak takiego odpowiednika nie ma. Angielski czasownik to govern, od którego pochodzi rzeczownik governance, oznacza „rządzić” lub „panować”. Czasami jest również tłumaczony jako „zarządzać”, ale stoi to w sprzeczności z tłumaczeniem terminu IT management – wyraźnie odróżnianego od IT governance3. Konieczne jest zatem przyjęcie innego tłumaczenia terminu IT governance4. Wydaje się, że właściwe będzie posłużenie się analogią do ugruntowanego już w języku polskim zbliżonego terminu corporate governance tłumaczonego jako „ład korporacyjny” 2. Rada Nadzoru nad Rachunkowością Spółek Publicznych (PCAOB – Public Company Accounting Oversight Board) – ciało kolegialne powołane przez SOX. 3. Dyskusja na temat pojęć IT governance i IT management została szerzej podjęta w dalszej części opracowania. 4. W pewnym sensie różnica pomiędzy management a governance jest analogiczna do różnicy pomiędzy „zarządzaniem” a „rządzeniem”. Pierwsze odpowiada procesom zachodzącym w skali przedsiębiorstwa, a drugie – rządu danego państwa. O ile procesy związane z zarządzaniem przedsiębiorstwem związane są w dużej mierze z dostosowywaniem się lub wykorzystywaniem bieżącej sytuacji, o tyle działania rządu mają stwarzać warunki działania dla podmiotów gospodarczych w długiej perspektywie..

(4) 22. Mariusz Grabowski. i przetłumaczenie terminu IT governance jako „ład informatyczny”. W dalszej części niniejszego opracowania właśnie ten termin jest używany. W literaturze przedmiotu istnieje kilka definicji ładu informatycznego. Pierwszą powszechnie zaakceptowaną i cytowaną jest propozycja zawarta w trzeciej edycji modelu COBIT5 [COBIT 3rd Edition... 2000, s. 3]. Zgodnie z nią ład informatyczny to „struktura składająca się z relacji i procesów, mająca na celu sterowanie przedsiębiorstwem i jego kontrolę po to, aby osiągać cele organizacyjne przez kreowanie wartości, mając na uwadze równoważenie ryzyka względem zwrotu z inwestycji w IT i związane z nią procesy”6. Definicja ta akcentuje stronę formalną zagadnienia oraz kładzie nacisk na funkcje związane z efektywnością oraz kontrolę procesów IT w organizacji. Nie podkreśla ona jednak wymiaru behawioralnego, tzn. explicite nie odnosi się do faktu, że efektywność IT governance w dużym stopniu zależy od sprawności organizacyjno-decyzyjnej ludzi, co jest widoczne w innych przytoczonych definicjach. Rok później organizacja wydająca i rozwijająca model COBIT, w publikacji [Board Briefing... 2001], dokonała redefinicji pojęcia: „Ład informatyczny leży w zakresie odpowiedzialności zarządu i głównego kierownictwa. Jest integralną częścią ładu korporacyjnego. Składa się ze struktur oraz procesów przywódczych i organizacyjnych, które mają zapewnić sprawność IT w utrzymaniu i rozszerzaniu celów oraz strategii organizacyjnych”. Punktem wyjścia rozważań i definicji zawartych w [Board Briefing... 2001] są przede wszystkim następujące dokumenty: [Report of the Committee... 1992] oraz [Enhancing... 1999]. Z uwagi na charakter dokumentów bazowych omawiana definicja nabrała w znaczącym stopniu charakteru formalnoprawnego – o czym świadczy pierwsza część definicji – często podkreślanego przez instytucje o profilu finansowym. W części drugiej najważniejszy jest rezultat działań – efektywność IT w osiąganiu strategicznych celów organizacji. Zauważa się w niej pewne akcenty behawioralne, których nie było w pierwszej definicji – IT governance nie jest już strukturą, ale odpowie5. Model COBIT (Control Objectives for Information and Related Technology) jest rozwijany od 1996 r. przez IT Governance Institute, organizację ściśle współpracującą ze Stowarzyszeniem do spraw Audytu i Kontroli Systemów Informatycznych – ISACA (Information Systems Audit and Control Association). Obecna, wydana w 2005 r. czwarta wersja modelu kładzie nacisk na zgodność celów kontrolnych z uwarunkowaniami prawnymi, pomaga w określeniu wartości biznesowej, jaką niesie ze sobą użycie techniki informacyjnej, oraz wspomaga samą implementację modelu COBIT w organizacji. COBIT jest uznanym, holistycznym i najbardziej rozbudowanym modelem audytu systemów informacyjnych (SI), którego głównym celem jest zdefiniowanie i pomiar realizacji celów kontrolnych związanych z wykorzystaniem techniki informacyjnej do wspomagania procesów biznesowych. Powstał jako zbiór dobrych praktyk, co niewątpliwie stanowi o jego przydatności aplikacyjnej. Wśród autorów modelu wymienieni są zarówno pracownicy akademiccy, jak i praktycy z wielu korporacji. 6. Tłumaczenie tej i innych definicji zostało dokonane przez autora niniejszego opracowania..

(5) Wybrane zagadnienia ładu informatycznego. 23. dzialnością. Nie ma już bowiem charakteru statycznych reguł, ale jest realizowana przez ludzi. Definicja zaproponowana przez IT Governance Institute przyjęła swą ostateczną postać w najnowszej, czwartej edycji COBIT [COBIT Objectives... 2005], ulegając drobnej modyfikacji. Skreślono zdanie: „Jest integralną częścią ładu korporacyjnego”. Modyfikacja ta nie wpływa jednak znacząco na rozumienie definicji terminu, gdyż zawarta w usuniętym zdaniu informacja wynika z tego, że ład informatyczny leży w zakresie odpowiedzialności zarządu i głównego kierownictwa. Definicję podobną do przedstawionej zaproponował W. Van Grembergen [2002, za: Van Grembergen i de Haes 2004, s. 5]. Zgodnie z nią ład informatyczny to „zdolność organizacyjna wyrażająca się w działaniach zarządu, najwyższego kierownictwa oraz kierownictwa działu IT, mających na celu kontrolę procesu formułowania i implementacji strategii IT, zapewniająca w ten sposób spójność sfery IT z działalnością biznesową”. W tak sformułowanej definicji również akcentuje się wymiar organizacyjno-strukturalny, osadza ona bowiem procesy sfery IT w kontekście procedur organizacyjnych oraz nadaje im ramy prawne. Zarówno według tej definicji, jak i poprzedniej już samo włączenie zagadnień IT do prac zarządu i najwyższego kierownictwa wydaje się równoznaczne z osiągnięciem spójności pomiędzy IT i celami strategicznymi organizacji. Na pewno jest to warunek konieczny, ale nie wystarczający, o czym świadczą wnioski formułowane na gruncie teorii kontyngencji7. Do najczęściej cytowanych w literaturze definicji ładu informatycznego należy definicja zaproponowana przez P. Weilla i J.W. Ross [2004, s. 2]: „Ład informatyczny to określenie struktury uprawnień i odpowiedzialności, która ma na celu zachęcanie do właściwych zachowań w użyciu techniki informacyjnej”. Definicja ta, wyrastając z gruntu kontyngencji, uwypukla fakt, że głównymi czynnikami różnicującymi właściwe wykorzystanie IT są czynniki organizacyjno-ludzkie. Zgodnie z nią infrastruktura informatyczna taka sama w sensie technologicznym zarówno w długim, jak i w krótkim okresie może skutkować różną efektywnością organizacyjną, która najczęściej przekłada się na różne wyniki ekonomiczne firmy. Definicję tę przyjęto jako obowiązującą w dalszej części artykułu.. 7. Teorie kontyngencji należą do grupy teorii behawioralnych. Zgodnie z nimi nie ma jednego, idealnego sposobu zarządzania organizacją; przeciwnie, określone uwarunkowania sprawiają, że styl zarządzania i metody skuteczne w jednych przypadkach są nieskuteczne w innych. Według teorii kontyngencji istnieje wiele czynników określających sukces organizacyjny lub inaczej: sukces organizacyjny zależy od wielu czynników takich jak styl zarządzania, otoczenie, podsystemy organizacyjne, zadania organizacyjne, zespoły zadaniowe itp. Do najbardziej znanych teorii kontyngencji należą: w kontekście przywództwa teoria kontyngencji Fiedlera oraz teoria sytuacyjna Herseya i Blancharda; w kontekście decydowania teoria partycypacji decyzyjnej Vrooma i Yettona, zwana również normatywną teoria decyzji, w kontekście reguł organizacyjnych teoria kontyngencji reguł Smitha..

(6) 24. Mariusz Grabowski. Pojęcie ładu informatycznego należy odróżnić od pojęcia zarządzania IT (IT management). Celem ładu informacyjnego jest stworzenie ram działania, warunków i reguł sprawnego zarządzania sferą IT i zapewnienie celowości i efektywności implementowanych rozwiązań oraz eliminacji ryzyka związanego z wykorzystaniem nowoczesnych technik informatycznych. Mechanizmy te są następnie realizowane przez uczestników procesu zarządzania IT. Rys. 1 ilustruje relacje pomiędzy ładem informatycznym a zarządzaniem IT.. zewnętrzne. Relacje biznesowe. wewnętrzne. ład informatyczny. zarządzanie IT. teraźniejszość. przyszłość. Czas. Rys. 1. Ład informatyczny a zarządzanie IT Źródło: opracowanie na podstawie: [Peterson 2003, s. 44].. Ład informatyczny stanowi swego rodzaju metareguły procesu zarządzania IT i w tym sensie jest wobec niego nadrzędny. Ład informatyczny jest zorientowany zewnętrznie oraz dotyczy długiej perspektywy czasu. Zarządzanie IT koncentruje się na działaniach bieżących i dotyczy na ogół problemów wewnątrzorganizacyjnych. Termin IT governance został po raz pierwszy użyty w artykule [Loch i Venkataraman 1992] w kontekście procesu outsourcingu usług IT wówczas nowatorskiego w gospodarce USA, ale aż do końca lat 90., jak podają A.E. Brown i G.G. Grant [2005], nie był używany powszechnie w publikacjach akademickich. Nie oznacza to jednak, że problematyka związana z IT governance nie była przedmiotem wcześniejszych badań. Poszczególne zagadnienia problematyki wartości inwestycji czy planowania strategicznego w systemach informacyjnych, audytu.

(7) Wybrane zagadnienia ładu informatycznego. 25. i bezpieczeństwa IT / IS oraz wiele innych były szeroko omawiane w literaturze przedmiotu w ostatnich 40 latach. Dopiero prace [Brown 1997, Sambamurthy i Zmud 1999] odnoszą się do takich terminów jak IS governance framework oraz IT governance framework. Problematyka ładu informatycznego jest rozwijana w kontekście audytu i kontroli systemów informacyjnych, akcentując jego wymiar praktyczny. Model COBIT stanowi narzędzie umożliwiające implementację ładu informatycznego w organizacjach. Dostarcza narzędzi wspierających proces równoważenia wymagań kontrolnych z zagadnieniami technologicznymi oraz ryzykiem biznesowym. W implementowaniu ładu informatycznego COBIT posługuje się m.in. miernikami realizacji określonych celów kontrolnych. Są nimi kluczowe wskaźniki celu (KGI – key goal indicators) oraz kluczowe wskaźniki wydajności (KPI – key performance indicators) określone dla każdego z 34 procesów IT / IS zdefiniowanych przez model. Można zatem wyodrębnić pewną grupę publikacji reprezentujących podejście narzędziowe do problematyki ładu informatycznego, wspierających i propagujących COBIT oraz inne techniki, w których ważną rolę odgrywa pomiar stopnia zgodności infrastruktury IT / IS z celami biznesowymi firmy jak np. zrównoważona karta wyników. Do tej grupy publikacji należy zaliczyć m.in. prace: [Van Grembergen 2002, Van Grembergen i de Haes 2004, Guldentops 2004, Grabowski 2009]. Druga grupa artykułów akcentuje aspekt behawioralny ładu informatycznego i w większym stopniu dotyczy teoretyczno-poznawczej strony zagadnienia. Artykuł [Brown i Grant 2005] stanowi obszerne studium literaturowe uwzględniające ponad 200 artykułów tej grupy. Autorzy podzielili je na dwa nurty: formy ładu informatycznego oraz analizę kontyngencji ładu informatycznego. A.E. Brown i G.G. Grant wskazują na monografię [Weill i Ross 2004] jako na podsumowanie wymienionych nurtów badań. Dlatego w następnym punkcie artykułu zaprezentowano zarys problematyki w nim prezentowanych, jako swego rodzaju podsumowanie obecnego stanu dziedziny. 3. Ład informatyczny według P. Weilla i J.W. Ross 3.1. Uwagi ogólne. Monografia [Weill i Ross 2004] stanowi rezultat wieloletnich prac nad zagadnieniem wartości, jakie niesie z sobą wykorzystanie IT, prowadzonych w Center for Information Systems Research działającego w ramach Sloan School of Management MIT. We wcześniejszej publikacji [Weill i Broadbent 1998] autorzy wykazali, że firmy będące liderami rynkowymi uzyskują zwrot z inwestycji w IT większy nawet o 40% niż ich konkurenci. W firmach tych próbuje się poszukiwać wartości w wykorzystaniu IT na co najmniej jeden z następujących sposobów:.

(8) 26. Mariusz Grabowski. – strategia biznesowa firmy jest jasno sprecyzowana oraz określa się, jaką funkcję w jej realizacji pełni IT, – dokonywany jest pomiar oraz zarządza się wydatkami i zwrotami z zastosowań IT, – przydzielane są zadania dotyczące dokonania zmian organizacyjnych potrzebnych do czerpania korzyści z IT, – z każdej implementacji wyciągane są wnioski po to, aby w większym stopniu dzielić i ponownie wykorzystywać zasoby IT. P. Weill i J.W. Ross uważają ład informatyczny za jeden z integralnych elementów ładu korporacyjnego, którego częściami składowymi są: – zasoby ludzkie (ludzie, umiejętności, ścieżki kariery, programy szkoleniowe, zasady raportowania, kompetencje itp.), – zasoby finansowe (gotówka, inwestycje, należności, zobowiązania, przepływy finansowe), – zasoby materialne (fizyczne): budynki, fabryki, maszyny i urządzenia, wyposażenie, utrzymanie, bezpieczeństwo, utylizacja itp., – zasoby intelektualne (własność intelektualna, licencje, patenty, know-how związany z produktami, usługami i procesami, prawa autorskie), – informacja i zasoby IT (dane, informacja, wiedza o klientach, procesach i wydajności, systemy informacyjne, sprzęt i oprogramowanie komputerowe i telekomunikacyjne), – zasoby relacyjne (relacje wewnątrz przedsiębiorstwa, relacje z klientami, dostawcami, innymi jednostkami biznesowymi, organizacjami o charakterze regulacyjnym, konkurentami, marka, reputacja).. przedmiotowy. Ład informatyczny. podmiotowy instrumentalny. Rys. 2. Wymiary ładu informatycznego Źródło: opracowanie własne..

(9) Wybrane zagadnienia ładu informatycznego. 27. Każdy z wymienionych obszarów wymaga zaprojektowania odpowiednich zasad związanych z długofalowym zarządzaniem. Zasady te powinny być zaprojektowane i realizowane w taki sposób, aby harmonijnie współgrać, realizując w ten sposób politykę ładu korporacyjnego w szerokim znaczeniu tego terminu. Autorzy powołują się na definicję ładu korporacyjnego przyjętą przez OECD [Nestor 2001] i wskazują na jego dwie strony: behawioralną i normatywną. Zgodnie z tymi kryteriami rozpatrują organizację IT governance na trzech poziomach. Zasady IT governance powinny dawać odpowiedź na następujące trzy pytania: 1. Jakie decyzje należy podejmować, aby efektywnie zarządzać sferą IT? 2. Kto powinien podejmować te decyzje? 3. W jaki sposób decyzje będą podejmowane oraz jak powinno się monitorować postęp związany z ich realizacją? Uzyskanie odpowiedzi na te pytania pozwala na zdefiniowanie ładu informatycznego w trzech wymiarach: przedmiotowym, podmiotowym i instrumentalnym (rys. 2). 3.2. Wymiar przedmiotowy ładu informatycznego. Wymiar przedmiotowy ładu informatycznego jest określany przez zdefiniowanie następujących obszarów decyzyjnych: Pryncypia IT. Określają zasady związane z funkcją, jaką pełni IT w organizacji. Są zdefiniowane na najwyższym, strategicznym poziomie organizacji. Organizacje, które uzyskują ponadprzeciętny zwrot z inwestycji w IT, mają zwykle kilka jasno sprecyzowanych zasad związanych z użyciem IT wkomponowanych w ogólnobiznesową filozofię firmy ([Weill i Broadbent 1998] – potwierdzają to również inne badania). Pryncypia IT wskazują menedżerom i pracownikom poszczególnych szczebli organizacyjnych zasady użycia sfery IT oraz właściwe w niej zachowania i stanowią podstawę do operacjonalizacji celów IT na niższych szczeblach zarządzania: taktycznym i operacyjnym. Zaleca się, aby pryncypia IT jasno określały przynajmniej trzy następujące wymagania: – docelowy model operacyjny organizacji, – docelowy poziom wsparcia IT dla tego modelu, – zasady finansowania IT. Architektura IT. Określa ona zasady związane z logicznym modelem danych, aplikacjami i infrastrukturą. Jest zbiorem reguł pozwalających na doprecyzowanie wymagań związanych ze standaryzacją i integracją rozwiązań IT zarówno w ujęciu technicznym, jak i biznesowym, umożliwiającym w ten sposób łagodne połączenie wymienionych w poprzednim akapicie składowych. Integracja usług IT i standaryzacja są zadaniami wzajemnie się warunkującymi. W każdym przypadku punktem wyjścia jest jednak określenie standardów dotyczących danych, gdyż to dane stanowią ogniwo łączące poszczególne procesy pozwalające na inte-.

(10) 28. Mariusz Grabowski. grację. Standaryzacja procesów pozwala zwykle na ich uproszczenie i jednakowe rozumienie w całej organizacji, co umożliwia zwiększenie ich powtarzalności i efektywności. Infrastruktura IT. Definiuje kształt i techniczną realizację usług i rozwiązań IT. Określa wymagania dotyczące sprzętu, modelu przetwarzania, oprogramowania i rozwiązań teleinformatycznych. W skład infrastruktury IT wchodzą również wymagania dotyczące umiejętności personelu związanych z administracją systemową, administracją danych, bezpieczeństwem, działalnością badawczo-rozwojową oraz wszelkiego wsparcia użytkowników końcowych w korzystaniu z rozwiązań IT. Zasadnicza różnica pomiędzy architekturą IT a infrastrukturą IT jest taka, że ta pierwsza stanowi projekt rozwiązań IT, a druga jest jej realizacją. Wymagania aplikacyjne. Wynikają bezpośrednio z potrzeb biznesowych organizacji i określają, w jaki sposób zastosowanie danego rozwiązania IT tworzy wartość w przedsiębiorstwie. Jest to prawdopodobnie najtrudniejszy spośród wszystkich pięciu omawianych obszarów decyzyjnych. Główny problem jest związany z faktem, że efektywne wsparcie IT w realizacji działalności gospodarczej organizacji jest zawsze kompromisem pomiędzy dwoma czynnikami: kreatywnością w znajdowaniu nowatorskich rozwiązań a koniecznością zachowania integralności z istniejącymi rozwiązaniami. Dlatego tak ważne jest zaimplementowanie elastycznej, funkcjonalnej i kosztowo efektywnej infrastruktury IT wspierającej misję organizacji – czyli właściwe zdefiniowanie i realizację poprzednich trzech obszarów decyzyjnych. Wymagania aplikacyjne są definiowane głównie przez menedżerów pionów biznesowych, gdyż to oni, działając jako agenci zmiany, mają (lub powinni mieć) największą wiedzę na temat realnych potrzeb informacyjnych procesów, którymi zarządzają. Priorytetyzacja inwestycji w IT. Ma na celu wybór tych przedsięwzięć, które w największym stopniu wspierają misję organizacji. Oznacza to, że finansowanie powinny zyskać przede wszystkim te projekty, które mają największe znaczenie strategiczne. Ponieważ w dużych organizacjach realizuje się jednocześnie kilka projektów, z którymi związane są różne stopnie ryzyka, powszechnie stosuje się metody portfelowe. Popularnym kryterium określania portfela projektów jest podział projektów na cztery grupy: – strategiczne, mające na celu wsparcie organizacji w uzyskaniu przewagi konkurencyjnej, – informacyjne, mające na celu zapewnienie informacji, – transakcyjne, mające na celu optymalizację procesów i eliminację kosztów, – infrastrukturalne, mające na celu zapewnienie dostępu do usług i integrację..

(11) Wybrane zagadnienia ładu informatycznego. 29. 3.3. Wymiar podmiotowy ładu informatycznego. Drugim wymiarem definiowania IT governance jest określenie podmiotu podejmującego decyzje w ramach określonego obszaru decyzyjnego. Ponieważ znaczenie IT governance wzrasta wraz z rozmiarem organizacji, podmiotem podejmującym decyzje nie jest jedna osoba i kwestia ta zwykle dotyczy wielu pionów organizacyjnych. Pierwszą osią jest podział na pion IT i piony biznesowe. Sytuacja ta komplikuje się w przypadku organizacji wielonarodowych o bardzo rozbudowanej strukturze. W niektórych z nich pion IT jest wydzielony z całej struktury organizacyjnej i stanowi swoistą organizację usługową dla całej korporacji, a w innych poszczególne piony biznesowe lub oddziały terytorialne mają własne działy IT. W celu określenia relacji pomiędzy poszczególnymi komórkami organizacyjnymi P. Weill, J.W. Ross i M. Broadbent, w rezultacie przeprowadzonych badań [Weill i Broadbent 1998, Weill i Ross 2004], proponują opisaną poniżej typologię związaną z alokacją uprawnień decyzyjnych w sferze IT. Posługują się oni sześcioma archetypami organizacyjnymi zaczerpniętymi z nauk politycznych określającymi znane z historii formy rządów8. Omawiając poszczególne wzorce decyzyjne, wymienieni autorzy rozróżniają ośrodki (osoby) decydujące i te, które zapewniają informację potrzebną do podjęcia decyzji. Wzorcami podmiotowego wymiaru IT governance w kontekście właściwego im archetypu są: – monarchia biznesowa. W monarchii biznesowej decyzje mające wpływ na sferę IT całej organizacji są podejmowane przez menedżerów pionów biznesowych, zwykle kolegialnie przez dyrektorów poszczególnych działów: dyrektora finansowego, dyrektora do spraw osobowych, dyrektora technicznego i innych w zależności od specyfiki organizacji. Dodatkowo w skład ciała decyzyjnego mogą wchodzić, i często wchodzą, prezes (dyrektor generalny) oraz dyrektor do spraw informatyki. Warto podkreślić, że w monarchii biznesowej uprawnienia decyzyjne dyrektora do spraw informatyki są takie same jak pozostałych decydentów; – monarchia IT. W monarchii IT decyzje dotyczące IT podejmowane są przez pion IT. Często tworzone jest w tym celu ciało kolegialne składające się z menedżerów różnych obszarów IT. Tego typu model decyzyjny jest stosowany w organizacjach, w których duże znaczenie mają wymagania dotyczące spójności infrastrukturalnej; – feudalizm. Model feudalny opiera się na relacjach typu suweren–wasal. Często sprowadza się to do sytuacji, w której określona jednostka biznesowa dysponuje autonomią i sama definiuje kształt sfery IT dla swych potrzeb. Dział IT 8. Autorzy nie podają źródła, które wyróżnia właśnie takie archetypy. W zasadzie wszystkie z nich są kategoriami politycznymi, z wyjątkiem duopolu, który jest kategorią ekonomiczną..

(12) 30. Mariusz Grabowski. w tym przypadku oferuje swoje usługi, w zamian będąc utrzymywanym przez jednostkę, którą obsługuje. W większości przypadków model feudalny nie sprzyja definiowaniu wydajnego i efektywnego IT governance, ponieważ obecnie bardzo ważnym zagadnieniem jest zapewnienie sprawnej i wydajnej infrastuktury, choć w niektórych sytuacjach może mieć duże znaczenie. Do takich przypadków należy zaliczyć odmienność strategiczną jednostek biznesowych; – federacja. Model federalny ma na celu równoważenie odpowiedzialności różnych jednostek organizacyjnych, do których należą najczęściej jednostki centralne oraz piony biznesowe lub linie procesowe oraz dział IT. Panuje dość powszechny pogląd, że jest to najtrudniejszy w realizacji spośród wymienionych archetypów IT governance z uwagi na trudności w wypracowaniu spójnego kryterium optymalizującego cel organizacji. Inny bowiem cel ma na ogół centrala, inny menedżerowie pionów biznesowych, jeszcze inny dział IT, a stopień uwzględniania interesów poszczególnych grup w interesie ogólnokorporacyjnym jest zależny od pozycji i znaczenia określonej jednostki. Model ten jest właściwy dużym firmom o niejednolitej strukturze, w których istotne znaczenie ma stworzenie i utrzymanie spójnej infrastruktury IT; – duopol. Archetyp ten stosowany jest w przypadkach, gdy dział IT jest wydzielony z działalności organizacji jako niezależna jednostka biznesowa i świadczy na zasadzie umów wzajemnych usługi innym jednostkom. W ramach duopolu pomiędzy działem IT a poszczególnymi jednostkami istnieje szereg bilateralnych umów, których obie strony w jednakowym stopniu uczestniczą w podejmowaniu decyzji. P. Weill i J.W. Ross wyróżniają zasadniczo dwa typy takich duopoli: kolisty, w którym centralną pozycję zajmuje dział IT, a pozycje satelitarne zajmują jednostki biznesowe, oraz typu „T”, w którym mamy do czynienia z dwoma ciałami kolegialnymi o charakterze decyzyjnym. Naczelny komitet składa się z dyrektorów poszczególnych pionów biznesowych, w skład którego wchodzi również dyrektor do spraw informatyki (kreska poprzeczna litery „T”), a komitet wykonawczy składa się ze specjalistów IT (kreska pionowa w literze „T”). 3.4. Wymiar instrumentalny. Jako narzędzia pozwalające na zaimplementowanie zasad ładu informatycznego P. Weill i J.W. Ross definiują następujące obszary: struktury decyzyjne, procesy dopasowywania oraz podejścia komunikacyjne. Opisując poszczególne instrumenty zapewniania ładu informatycznego, autorzy wskazują raczej, co należy zrobić lub co należy zapewnić, niż jak tego dokonać. Wymienione dalej narzędzia zostały zidentyfikowane na podstawie badań w 256 korporacjach z 23 krajów [Weill i Ross 2004, s. 87]. W zakresie struktur decyzyjnych P. Weill i J.W. Ross wymieniają następujące ciała kolegialne: (1) zarząd lub komitet składający się z naczelnego kierownic-.

(13) Wybrane zagadnienia ładu informatycznego. 31. twa, (2) komitet składający się z szefów poszczególnych pionów IT, (3) zespoły procesowe wraz z przedstawicielami działu IT, (4) menedżerów zarządzających relacjami biznes–IT, (5) radę IT składającą się z menedżerów IT i menedżerów pionów biznesowych, (6) komitet do spraw architektury IT, (7) komitet zatwierdzający wydatki na IT. Autorzy zauważają, że pewne mechanizmy sprawdzają się w pewnych archetypach, a w innych nie, np. w przypadku monarchii biznesowej najczęściej decyzje podejmowane są przez ciała kolegialne, w których skład wchodzą menedżerowie najwyższego szczebla (1) i (2), a w przypadku modelu federacyjnego, gdzie istnieje konieczność zapewnienia mechanizmów równoważących cele ogólnokorporacyjne z celami poszczególnych jednostek biznesowych, ważną rolę odgrywają ciała kolegialne (6) i (7). Struktury decyzyjne stanowią pierwszy krok efektywnej implementacji ładu informatycznego. Kolejny to zastosowanie określonych procesów dopasowujących. Należą do nich: zarządzanie projektami IT, umowy dotyczące poziomu usług (SLA – service-level agreements), formalne śledzenie biznesowej wartości IT oraz umowy fakturowania zwrotnego (chargeback agreements). Ostatnia faza implementacji jest związana z właściwym przekazem informacji w organizacji o funkcji, jaką pełni w niej IT, i ma niewątpliwie ogromny wpływ na realizację głównego celu ładu informatycznego, który zgodnie z przyjętą w niniejszej pracy definicją polega na zachęcaniu do właściwych zachowań w użyciu techniki informacyjnej wśród wszystkich pracowników organizacji. Zapewnić ją mają narzędzia należące do grupy podejść komunikacyjnych takich jak: praca z menedżerami, którzy nie przestrzegają zasad, ogłoszenia najwyższego kierownictwa, biuro dyrektora do spraw informatyki lub ładu informatycznego oraz portale i intranety. 4. Zakończenie Problematyka ładu informatycznego nabiera obecnie szczególnego znaczenia zarówno w wymiarze praktycznym, jak i teoretycznym. Znaczenie dla praktyki gospodarczej polega na dostrzeżeniu istoty ładu informatycznego oraz zdefiniowaniu obszarów decyzyjnych i implementacji zaproponowanych mechanizmów. Takie działania nie tylko warunkują celowość i efektywność inwestycji w IT, ale również pozwalają na zharmonizowany rozwój infrastruktury technologicznej, zapewniając jej zgodność z rosnącymi wymaganiami organizacyjno-biznesowymi. W wymiarze praktycznym szczególnie istotny staje się nurt związany z modelem COBIT oraz innymi technikami, w których istotną rolę odgrywa pomiar stopnia zgodności infrastruktury IT / IS. Praca P. Weilla i J.W. Ross [2004] ma fundamentalne znaczenie dla sfery rozważań teoretycznych. Zaproponowany model poznawczy, zawierający obszary.

(14) 32. Mariusz Grabowski. decyzyjne, archetypy i instrumenty, powinien być poddany szerszej empirycznej weryfikacji. Na taką konieczność wskazuje szereg publikacji. Literatura Auditing Standard no. 2: An Audit of Internal Control over Financial nancial Reporting Performed in Conjunction with an Audit of Financial Statements [2004], Public Company Accounting Oversight Board, http://www.pcaobus.org/Rules/Rules of the Board/Auditing Standard 2.pdf. Board Briefing on IT Governance [2001], 2nd ed., IT Governance Institute, Rolling Meadows. Brown A.E., Grant G.G. [2005], Framing the Frameworks: A Review of IT Governance Research. Brown C.V. [1997], Examining the Emergence of Hybrid IS Governance Solutions: Evidence from a Single Case Site, „Information Systems Research”, nr 8(1). Carr N.G. [2003], IT Does Not Matter, „Harvard Business Review”, May. COBIT 3rd Edition. Executive Summary [2000], IT Governance Institute, Rolling Meadows. Control Objectives for Information and Related Technology (COBIT) 4.0 [2005], IT Governance Institute, Rolling Meadows. Enhancing Corporate Governance for Banking Organisations [1999], Basel Committee on Banking Supervision, Basel. Grabowski M. [2009], Zrównoważona karta wyników jako narzędzie pomiaru efektywności przedsięwzięć e-biznesowych, Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie, Kraków, nr 770. Guldentops E. [2004], Governing Information Technology through COBIT [w:] Strategies for Information Technology Governance, ed. W.V. Grembergen, Idea Group Publishing, Hershey. Loch L., Venkataraman N. [1992], Diffusion of Technology Outsourcing: Influence Sources and the Kodak Effect, „Information Systems Research”, nr 3(4). Nestor S. [2001], International Efforts to Improve Corporate Governance: Why and How, OECD, http://www.oecd.org/dataoecd/61/1/1932028.pdf. Peterson R.R. [2003], Information Strategies and Tactics for Information Technology Governance [w:] Strategies for information Technology Governance, ed. W. van Grembergen, Idea Group Publishing, Hershey. Report of the Committee on the Financial Aspects of Corporate Governance [1992], Gee (a division of Professional Publishing Ltd), London. Sambamurthy V., Zmud R.V. [1999], Arrangements for Information Technology Governance: A Theory of Multiple Contingencies, „MIS Quarterly”, nr 23(2). Sarbanes-Oxley Act of 2002 [2002], Pub. L. No. 107–204, 116 Stat. 745 (codified as amended in scattered sections of 15 U.S.C.). Van Grembergen W. [2002], Introduction to the Minitrack: IT Governance and Its Mechanisms, Proceedings of the 35th Hawaii International Conference on System Sciences (HICCS), IEEE..

(15) Wybrane zagadnienia ładu informatycznego. 33. Van Grembergen, W., de Haes S. [2004], Structures, Processes and Relational Mechanisms for IT Governance [w:] Strategies for Information Technology Governance, ed. W.V. Grembergen, Idea Group Publishing, Hershey. Weill P., Broadbent M. [1998], Leveraging the New Infrastructure: How Market Leaders Capitalize on IT, Harvard Business School Press, Boston. Weill P., Ross J.W. [2004], IT Governance, Harvard Business School Press, Boston.. Selected Issues of Information Technology Governance A great increase of information technology utilisation in current enterprises cause the need of changing a paradigm of IT management. Separated, individual, technologically supported information systems (IT / IS) are no longer a subject of management, but the focus is directed to whole infrastructure IT / IS that includes many co-operating links. Creation of efficient structures and tools allowing effective management of IT / IS infrastructure is a serious challenge, particularly in circumstances of growing attention paying to economic justification and effectiveness of investments into IT. The article addresses considerations concerning a field of IT governance, which determines decision areas and tools that undertake and significantly solve problems described above. Key words: IT governance, IT management, IT value, strategic significance of IT, IT / IS planning..

(16)