Trzeba zwrócić uwagę na ryzyko związane z systemami informatycznymi

Od 1 stycznia 2009 r. obowiązuje nowa zmieniona wersja Międzynarodowych Standardów Profesjonalnej Praktyki Audytu Wewnętrznego.

Katarzyna Włodarska, menedżer i wykładowca w Ernst & Young Academy of Business, wyjaśnia, że pojawiło się sześć nowych standardów. Jeden z nich (2110.A2) odnosi się specyficznie do obowiązku oceny governance (zarządzanie) w zakresie technologii informatycznych (IT). Audyt wewnętrzny musi ocenić, czy governance w zakresie IT wspiera osiąganie celów i realizację strategii organizacji.

– Sięgając do glosariusza (słownika pojęć) możemy wyczytać, że governance w zakresie IT składa się z przywództwa, struktur organizacyjnych oraz procesów zapewniających, że technologie informatyczne organizacji wspierają osiąganie jej celów i realizację strategii – twierdzi nasza rozmówczyni. Dodaje, że niestety nie ma interpretacji ani poradnika do tego standardu. Jak zatem możemy ocenić, czy governance jednostki w zakresie IT jest wystarczający, czy nie?

Zanim odpowiemy sobie na te pytania należy zauważyć, że nie jest to nowe zagadnienie, a uwaga audytorów wewnętrznych już od dawna jest skierowana na obszary związane z technologiami informatycznymi.

Katarzyna Włodarska wyjaśnia, że pojawienie się tego konkretnego standardu podkreśla jedynie ciągle rosnącą rolę technologii informatycznych w organizacjach, a co za tym idzie – konieczność rozważenia wielu nowych ryzyk.

– W przypadku jednostek sektora publicznego mieszczących się w więcej niż jednym budynku problemem staje się np. zachowanie kontroli nad posiadanym sprzętem i użytkownikami – twierdzi ekspert. Dodaje, że nieodosobnionym przypadkiem jest np. samowolne instalowanie aplikacji przez użytkowników, często bez licencji. A to z kolei, w przypadku współfinansowania projektów informatycznych z funduszy unijnych, może oznaczać utratę lub nakaz zwrotu dofinansowania. Na szczęście na rynku dostępne jest oprogramowanie, które z jednej strony utrudnia takie instalacje, a z drugiej – ściśle monitoruje system pod kątem legalności użytkowanych programów.

Z kolei Angelika Rokicka-Buczek, wykładowca w Ernst & Young Academy of Business wyjaśnia, że governance w zakresie IT jest pojęciem znacznie szerszym od zarządzania działem informatycznym czy od kontroli informatycznych. Jest to metoda określania strategii i zarządzania, która łączy w sobie kluczowe funkcje governance, czyli dopasowanie działań do strategii, dostarczanie wartości, zarządzanie ryzykiem, zarządzanie zasobami i mierzenie wyników.

– Wynikiem skutecznego procesu governance (zarządzania) w zakresie IT będzie przysporzenie całej organizacji wartości w odniesieniu do obranej strategii działania, jak również identyfikacja i reakcja na wszystkie istotne ryzyka w tym obszarze – twierdzi nasza rozmówczyni. Wyjaśnia, że aby to osiągnąć, działania w obszarze technologii informatycznych nie mogą podążać własną drogą i wynikać jedynie z inicjatywy np. dyrektora IT lub środków budżetowych do wydania. Muszą one być spójne z celami całej organizacji. Zarządzanie zasobami musi przyczyniać się do optymalnych inwestycji i zapewnić odpowiednie wykorzystanie kluczowych zasobów IT, czyli procesów, ludzi, oprogramowania, infrastruktury i informacji. Nieodzownym elementem jest mierzenie efektywności działania i wyników wszystkich powyższych obszarów, co stanowi podstawę jeszcze lepszych przyszłych decyzji.

Angelika Rokicka-Buczek, podkreśla, że governance w zakresie IT nie pozostaje jedynie w gestii dyrektora do spraw systemów informatycznych. Często porównuje się dział informatyczny do maszynowni na okręcie, a jeżeli ludzie pod pokładem nie wiedzą, dokąd statek zmierza, może się to skończyć katastrofą. Stąd wniosek, że skuteczne zarządzanie (governance) w zakresie IT wymaga zaangażowania kierownictwa wyższego szczebla i współpracy wszystkich pracowników. Co więcej governance w zakresie IT jest jednym z obszarów ładu korporacyjnego i jako taki musi brać pod uwagę oczekiwania np. petentów, a nie tylko kierownictwa i organów nadzorczych.

– Im bardziej organizacja jest uzależniona od technologii, tym większa potrzeba i nacisk na skuteczny i efektywny governance w obszarze IT – uważa ekspert. Governance w zakresie IT będzie różny, np. w szkolnictwie i aparacie skarbowym, gdzie potrzeba i stopień wykorzystania technologii informatycznych są różne.

Co jest więc kluczem do sukcesu posiadania dobrego governance (zarządzania) w zakresie IT?

Doktor Agnieszka Bryl, menedżer w dziale doradztwa biznesowego Ernst & Young, wyjaśnia, że przede wszystkim musi być on adekwatny do potrzeb i prosty, czyli łatwy do zrozumienia, wytłumaczenia i utrzymania. Skomplikowane struktury, o niejasnym podziale obowiązków i odpowiedzialności, zbyt zawiłych procedurach nie sprawdzają się w rzeczywistości.

– Proces decyzyjny powinien być jasno ustalony, znany, obejmujący konsultacje zarówno wewnątrz organizacji, jak i z zewnętrznymi interesariuszami – przyznaje nasza rozmówczyni. Twierdzi również, że wszyscy pracownicy powinni mieć świadomość bycia częścią struktur i procesów, i znać swoją rolę, odpowiedzialność oraz obszary, za które są ostatecznie rozliczani. Tak jak przy wszystkich innych obszarach zarządzania, bardzo ważny jest drożny przepływ informacji, w tym zwrotnych i sprawnie działający mechanizm reagowania na odstępstwa i sygnały ostrzegawcze. Im większa organizacja, tym większa potrzeba formalizacji, ale żeby móc szybko reagować na nowe decyzje i zmiany w otoczeniu – system taki musi być elastyczny.

Jakie są przesłanki braku lub niewystarczającego governance w zakresie IT?

Agnieszka Bryl uważa, że te, które widać od razu, to chociażby nieudane inwestycje, wdrożenia, awaryjność sprzętu, błędy w aplikacjach czy udane ataki hakerów. O problemach z governance może świadczyć również duplikacja wysiłków i kosztów, wynikająca np. z braku komunikacji lub braku spójnego podejścia w procesach decyzyjnych czy realizacji nowych projektów. Warto przeprowadzić prosty rachunek ekonomiczny i sprawdzić, czy czas i środki potrzebne do utrzymania lokalnych systemów nie są wyższe od kosztu, który należałoby ponieść na system scentralizowany.