Przywództwo to wyznaczanie standardów w skali działu IT i całej firmy

Marek Tejchman: Czy normy takie jak ISO 19770-1 mogą być sposobem na podniesienie produktywności?

Znajdujemy się w momencie, w którym polska kreatywność zaczyna brać górę nad technologią. Zaczynamy wykorzystywać technologię do tego, żeby stawała się swego rodzaju narzędziem w naszych poczynaniach. Im lepsze są narzędzia, tym lepsza będzie efektywność. Wszystko, co jest związane z technologią, będzie nam pomagało w rozwoju kreatywności, w przedsiębiorczości, w biznesie. Jestem przekonany, że to jedyna droga przeznaczona nam dzisiaj.

Bartłomiej Witucki: Mówiąc o działaniach wspomagających zarządzanie informatyką, należałoby wspomnieć, że Microsoft był jedną z pierwszych firm, które przygotowywały programy mające pomóc użytkownikom lepiej zarządzać oprogramowaniem.

Rozwój tego aspektu jest bardzo silnie widoczny w Polsce, a jedyną drogą do tego jest połączenie kreatywności z procedurami, bo za dużo kreatywności bez procedur powoduje chaos, a za mało kreatywności i same procedury powodują zastój. Dobra kombinacja tych dwóch czynników sprawia, że gospodarka idzie do przodu, i to w stabilny sposób. Mówimy tu także o aspekcie pozostawionym często gdzieś na pograniczu świadomości, a więc o respektowaniu prawa. Jeśli ten temat jest traktowany poważnie, to jest to część procesu dojrzewania do rynków światowych powodującego wzrost kultury biznesu, w której respektuje się prawa twórcy. Można powiedzieć, że poziom piractwa stanowi w pewien sposób wyznacznik poziomu kultury korporacyjnej. Czasami spotykam się ze stwierdzeniem, że przecież powinienem się cieszyć, jeśli takie przedsiębiorstwo jak Totalizator ma za dużo mojego oprogramowania. Prawda jest taka, że dla dostawcy jest to najgorszy scenariusz. Prędzej czy później powoduje to niezadowolenie klienta, sprawia, że klient ma przekonanie, że wydał pieniądze na coś, czego nigdy nie użył. Krótkoterminowo oczywiście oznacza to dla mnie jako dostawcy korzyść, ale długoterminowo oznacza to stratę. Dlatego staramy się robić tak, żeby to zmienić - żeby klient używał tylko tego, co jest mu potrzebne.

BW: Skoro mówimy o piractwie, to jesteśmy już bardzo blisko świata wartości.

Problem wartości jest bardzo trudny, gdyż ludzie mają zwyczaj posługiwać się wartościami instrumentalnie. Dosyć często wartości stają się problemem, w radzeniu z którym pomaga nam hipokryzja. Menedżer musi przestrzegać prawa, natomiast przywódca musi tworzyć wartości i umieć je autentycznie wprowadzić do organizmu, któremu przewodzi. To oznacza, że musi ich sam bezwzględnie przestrzegać, bo moment, w którym przestaje ich przestrzegać, traci absolutnie umiejętność przewodzenia.

Chciałbym tylko przypomnieć, że Totalizator jest nie tylko pierwszą firmą w Polsce, ale też pierwszą firmą na Starym Kontynencie, która uzyskała ten certyfikat. Dylematy poruszane podczas tej debaty to dylematy wielu firm. Padło pytanie: co jest ważniejsze - kreatywność czy procedury i procesy. Z własnej praktyki wiem, że bardzo często się ono pojawia podczas prowadzonych przez nas audytów, bowiem poukładane procesy w pewien sposób blokują kreatywność. Z drugiej strony jednak powodują, że organizacja lepiej działa. Rozwiązanie Verafirm powoduje, że te dwa elementy znacznie łatwiej połączyć.

Zastanawiamy się też tutaj, czym jest software i czym są licencje. Licencje to są również aktywa, za które spółka płaci. Aby to zobrazować, posłużę się przykładem floty samochodowej. Jeśli firma kupuje samochód, to zawsze w określonym celu: jeden jest dostawczym, inny samochodem prezesa. I każdy samochód musi mieć pewien zestaw cech, żeby pełnić swoją rolę. Dokładnie tak samo jest z oprogramowaniem w organizacji: musi pełnić swoją rolę i musi być efektywnie wykorzystywane.

MT: Czy to oznacza, że rola osób zajmujących się IT powinna być silniejsza w ramach struktur firm?

Biorąc pod uwagę, że nakłady na IT zaczynają być istotnym elementem każdego przedsiębiorstwa, to rzeczywiście rola IT bardzo się wzmacnia. I każda wydana złotówka ma znaczenie, bo tak naprawdę to nie jest złotówka, tylko duże pieniądze.

Patrząc z perspektywy menedżera ryzyka, czyli kogoś, kto ma za zadanie przekazanie zarządowi firmy potencjalnych zagrożeń związanych z realizacją założonych celów, to taka osoba przede wszystkim wychodzi od ryzyk firmy. Oprogramowanie, które wykorzystuje firma, służy jakimś celom, a więc zarządzanie oprogramowaniem w jakiś sposób przyczynia się do realizacji celów biznesowych. Z drugiej strony tym, co różni zarządzanie od zarządzania ryzykiem, jest fakt, że nie zawsze w grę wchodzą aspekty kulturowe. Menedżerowie i organizacje nie zawsze lubią zgłaszać ryzyka czy o nich raportować. Ryzyko jest często postrzegane jako coś negatywnego, więc prosta identyfikacja ryzyka - czy to w obszarze oprogramowania, czy realizacji celów firmy - może być postrzegana jako problem komunikacyjny. Dlatego obecne praktyki proponują neutralne podejście do identyfikacji ryzyk, bo ostatecznie ma to służyć wspomaganiu zarządu w realizacji decyzji. Rozwój dziedziny zarządzania ryzykiem sprawił, że ryzyka zaczęto klasyfikować: od najbardziej znanego ryzyka finansowego, przez zarządzanie ryzykiem operacyjnym - w tym ryzykiem prawnym, refutacyjnym, ryzyko strategiczne, po ryzyko związane z konkretnymi produktami. Cała sfera programu optymalizacji kosztowej związana z Verafirm najbardziej moim zdaniem pasuje do ryzyka operacyjnego, które jest związane zarówno z różnego rodzaju stratami operacyjnymi, jak i z błędami ludzkimi. Jako menedżer ds. ryzyka zastanowiłbym się więc, w jaki sposób Verafirm wspomaga realizację celów - czyli jest swoistym środkiem kontroli i zabezpieczeniem firmy w pewnych obszarach, tam gdzie dobre zarządzanie informatyką wspomaga cele biznesowe.

BW: A jak wygląda wprowadzenie norm z perspektywy ładu korporacyjnego?

Z perspektywy audytu wewnętrznego należałoby to rozdzielić na dwa etapy. Z jednej strony audyt daje zarządom coś takiego jak działania zapewniające, czyli zapewnienie, że ład korporacyjny, zarządzanie ryzykiem i procedury są przestrzegane, a z drugiej strony zapewnia działania doradcze. Takim działaniem mogłoby być zaproponowanie zarządowi wdrożenia programu Verafirm, z którym oczywiście też wiążą się ryzyka z punktu widzenia negatywnego. Niesie ono natomiast ze sobą także wiele szans, bowiem ryzyko to nie tylko coś negatywnego, to czasami także duża szansa na rozwój organizacji.

Natomiast z punktu widzenia działań zapewnianych przez taki program jak Verafirm, czyli bardzo dobrze zaprojektowana struktura zarządzania z punktu widzenia audytu wewnętrznego, który ocenia jakość ładu korporacyjnego i stara się wskazywać ryzyko i działania prowadzące do jego ograniczenia, to jest to bardzo duży plus dla organizacji. Procedury jak to procedury - to są pewne mechanizmy kontrolne, które powinny układać pewne działania w organizacji w sposób uporządkowany. Największym plusem wdrożenia jest ograniczenie ryzyka w kilku aspektach. Mówimy tutaj o aspekcie bezpieczeństwa informacji, na pewno musimy powiedzieć o aspekcie prawym i ryzykach reputacyjnych, bo każde naruszenie prawa o własności intelektualnej to jest katastrofa dla organizacji. No i oczywiście efektywność kosztowa - dyrektor finansowy patrzy na słupki i ewidentnie wskazuje na to, że coś takiego powinno być wdrożone.

BW: Jeżeli audytor ocenia ład organizacyjny, to ile takich ISO-wskich norm musi brać pod uwagę? Jest przecież norma dotyczącą bezpieczeństwa informacji, norma dotycząca zarządzania oprogramowaniem i wiele innych norm dotyczących zarządzania jakością. Ile takich zestawów audytor musi mieć na uwadze w codziennej pracy?

Bardzo wiele. Tu nawet nie chodzi o normy. Informatyka jest wdzięcznym przykładem, bo tych rodzin norm jest tutaj, jak się wydaje, najwięcej. Mamy więc gigantyczną rodzinę norm 27000 mówiącą o bezpieczeństwie informacji; mamy normy dotyczące zarządzania usługami - kiedyś się mówiło o zarządzaniu usługami IT, czyli rodzinę norm 20000; mamy dobre praktyki powiązane z normą 20000, czyli bibliotekę ITIL; mamy zarządzanie od poziomu korporacyjnego, czyli COBIT. Tak, jest tego naprawdę bardzo dużo...

BW: Muszę w takim razie poprosić o komentarz Krzysztofa Bączkiewicza, który napisał niedawno artykuł o normie 19770-1 w kontekście znanych już praktyk. Jak i na ile ta norma integruje się z innymi praktykami zarządzania?

Norma 19770-1 sprawia, że pewne rzeczy stają się jawne i okazuje się, jaka jest prawda. Jest to wspaniałe narzędzie dla menedżera, ale trzeba mieć odwagę, żeby tej prawdzie spojrzeć w oczy.

BW: Dlaczego opracowanie normy trwało tak długo?

Pamiętam, że kiedy w 2006 r. opublikowaliśmy pierwszą wersję normy, to mieliśmy poczucie, że udało nam się dać światu narzędzie do tego, żeby wszystko w IT poukładać. Szybko jednak okazało się, że rynek niespecjalnie dobrze przyjął normę. Dlatego zdecydowaliśmy się zrobić badania, które miały odpowiedzieć na pytanie o stosunek do niej przedsiębiorców i prezesów. Generalna odpowiedź była taka: "Chcielibyśmy to mieć, tylko jak to ugryźć?". W związku z tym to my, autorzy normy, zaczęliśmy się zastanawiać, jak ugryźć rynkowy sceptycyzm. Był jednak pewien problem: organizacja ISO jest bardzo mocno regulowana, więc nawet chcąc uczynić normę bardziej przystępną, nie wolno się rozpisywać ponad miarę, musimy dalej być bardzo precyzyjni itd. Praca nad nową wersją trwała tak długo, bo próbowaliśmy na różne sposoby uprzystępnić normę, m.in. podzieliliśmy ją na cztery części. Gdyby ktoś chciał wiedzieć, jakich wybiegów użyliśmy, to zapraszam do lektury samej normy.

BW: Samo przeczytanie normy stwarza ryzyko pewnych błędów interpretacyjnych...

Norma jest trochę jak choinka bez bombek. Niby drzewko stoi, niby jest struktura, więc wiadomo, co trzeba zrobić, ale kiedy zaczyna się podchodzić do zadania, to można ją różnie zinterpretować. Przykład z przebiegu prac nad aktualną normą: Japończycy tłumaczyli nam, że pewne słowa w ich języku albo zupełnie nie istnieją, albo są kompletnie inaczej interpretowane - a przecież ISO 19770-1 to norma międzynarodowa, wszędzie musi być rozumiana podobnie. To jest trudne, dlatego trzeba dodatkowych narzędzi, tj. jak BSA SAM Advantage, które warto przygotować na samym początku, żeby wiedzieć, z czym w ogóle się mocujemy.

BW: Jak wygląda w praktyce nauczenie się korzystania z normy?

, dyrektor departamentu informatyki, Totalizator Sportowy: Bez przejścia szkolenia SAM Advantage trudno byłoby nam zinterpretować pewne zapisy i intencje normy. Lubię porządek, a dzięki przeprowadzeniu audytu w obszarze oprogramowania przynajmniej jestem spokojniejszy i wiem, że w tej materii nasza spółka ma wszystko poukładane. Mam więc dzięki temu pewien wewnętrzny spokój i mogę skupić się na innych obszarach.

Co do procesów i regulacji, to jestem za takim ich rodzajem, który nie przeszkadza pracownikowi w wykonywaniu codziennych obowiązków. Tylko takie mają sens, nie warto wprowadzać procedur dla samych procedur. Co do odpowiedzialności i ryzyk, każdy menedżer w spółce powinien działać zgodnie ze strategią spółki, a więc realizować cele i przewidywać ryzyka w podległym mu obszarze. Osobiście dążę do tego, żeby było ich jak najmniej; nie uda mi się wyeliminować wszystkich, ale cały czas będę dążył do tego, żeby było ich jak najmniej. Każdy menedżer musi też patrzeć na kwestie finansowe, więc rozmawiamy tu o ryzykach, finansach i strategii spółki.

, główny specjalista ds. systemów informatycznych, Totalizator Sportowy: Stwierdzenie, że należało zacząć od kursu, u nas akurat wzięło się stąd, że Totalizator nie zaczął od kursu [śmiech]. W związku z tym przeszliśmy to szkolenie trochę później. Dzięki niemu zauważyliśmy, że w niewłaściwy sposób zaczęliśmy kształtować wiele procesów i polityk, ponieważ norma jest bardzo ogólna, a nasze własne praktyki często odbiegały od tego, jak taka norma powinna wyglądać - a powinna być skuteczna i przejrzysta, żeby była regulacją, której da się używać w biznesie. Szkolenie SAM Advantage dało nam bardzo dużo, spowodowało nawet zawrócenie z niektórych ścieżek, które obraliśmy. Przy tym nie komplikowaliśmy sobie życia, tylko skorzystaliśmy z dobrych praktyk, które są przekazywane w trakcie szkolenia pod postacią przykładów i case studies. Myślę, że dla każdej organizacji, która podchodziłaby do tego certyfikatu, szkolenie SAM Advantage to cenne narzędzie zarówno do wprowadzenia normy, jak i zarządzania oprogramowaniem i certyfikowania się w Verafirm.

BW: Słyszałem od ekspertów, że jest norma ISO 19770-1 bardzo wymagająca. Verafirm ułatwia jej wdrożenie?

Na pewno posiadanie tego certyfikatu wiele ułatwia w organizacji. Z perspektywy realizacji samego audytu ważne jest to, że przebiega on dwuetapowo. W pierwszym etapie spółka otrzymuje informacje, co musi poprawić i usprawnić, a dopiero w drugim uzyskuje certyfikat. Docelowo firmy w Polsce powinny ubiegać się o ten certyfikat, ponieważ koszty licencji stają się istotnymi kosztami i firmy powinny w efektywny sposób zarządzać również tą pozycją.

BW: W kontekście zagrożenia złośliwym oprogramowaniem warto powiedzieć kilka słów na temat inicjatywy Microsoftu, jaką jest Digital Crime Unit.

Z racji tego, ile urządzeń na świecie wykorzystuje system operacyjny Windows, w kwaterze głównej Microsoftu w Redmond mamy centrum operacyjne, które wyłapuje miejsca pojawiania się złośliwego oprogramowania. Na podstawie tych sygnałów Digital Crime Unit jest w stanie określić miejsce pojawienia się malware’u do konkretnego adresu. Naturalnie współpracujemy w tym zakresie bardzo dobrze nie tylko z biznesem, lecz również z rządami państw. Niedawno odbyłem spotkanie z przedstawicielami polskich służb, które także będą to wykorzystywać.

Złośliwe oprogramowanie to gigantyczne zagrożenie nie tylko dla użytkowników, którzy są konsumentami, ale przede wszystkim dla biznesu. Przy wszystkich certyfikatach, które możemy wprowadzić, na końcu to jest tylko lepsze samopoczucie, bo wydarzyć się może wiele niespodziewanych rzeczy. Do tych wszystkich certyfikatów musimy dołączyć jeszcze intuicję oraz jak najwięcej informacji, które - bazując na wyczuciu, a nie pewności - pozwolą nam powiedzieć, że zbliża się dodatkowe zagrożenie i trzeba się jakoś na nie przygotować.

BW: Niepokoi mnie stwierdzenie pana prof. Koźmińskiego, że mamy do czynienia z deficytem liderów, których stać na stworzenie pewnej wizji i zarażenie nią współpracowników. Nie będzie w związku z tym kłopotów z rozpowszechnianiem normy?

Kiedy przyszedłem pięć lat temu do Totalizatora Sportowego, był to mocno przykurzony dinozaur i z przymrużeniem oka patrzono na to, co przez ten czas działo się w firmie. W ciągu pięciu lat udało się przesunąć tego dinozaura w XXI w. To oznacza, że mamy nowe produkty przystające do tego wieku; mamy nową strukturę organizacyjną; mamy nową strukturę działania również w obrębie operacyjnym; mamy nowy system operacyjny, najlepszy na świecie, obsługujący 10 tys. operacji na sekundę; mamy 14 tys. punktów sprzedaży; do tego system wewnętrzny, który musi być również sprawny. Zarządzanie tym systemem wewnętrznym to także jest część zarządzania firmą.

Swego czasu postawiliśmy sobie cel: wyznaczać standardy. Totalizator działa inaczej niż inne spółki będące w obrębie portfolia Ministerstwa Skarbu. Nasze produkty kupowane są raczej impulsywnie, co zbliża nas do branży FMCG. Wyznaczając standardy i realizując je, pokazujemy, że można nie tylko w obrębie spółek komercyjnych, ale również w obrębie spółek państwowych dążyć do takich celów, które dla wielu z punktu widzenia zarządzania są absurdalne, choć realne. Jeśli ktoś chce przeskoczyć mur, to może wiele osiągnąć. Dlatego zdobywamy certyfikaty nie tylko na krajowym podwórku, ale także na rynku międzynarodowym; mamy certyfikat 27001, certyfikat responsible gambling, międzynarodowy certyfikat najwyższej klasy. Dzięki temu jesteśmy przykładem dobrych praktyk nie tylko na poziomie lokalnym, ale też na poziomie światowym.

BW: Znajdą się kolejni, którzy pójdą w ślady Totalizatora Sportowego?

Może być z tym różnie. Na pewno do rzeczy wielkich potrzebna jest odrobina szaleństwa. Jeżeli ktoś jest wyważony, ostrożny i staranny, to może co najwyżej funkcjonować na poziomie przeciętnym. Chciałem tutaj poczynić jeszcze jedną uwagę dotyczącą ryzyka. Jestem mianowicie wielkim fanem Nassima Nicholasa Taleba i jego koncepcji czarnych łabędzi, czyli rzeczy, które nie mieszczą się w rozkładach prawdopodobieństwa - innymi słowy takich, które nie mogą się zdarzyć, ale się zdarzają. Wystarczy spojrzeć na sytuację geopolityczną w naszej części świata. W związku z tym zawsze potrzebny jest człowiek z jego intuicją i wyczuciem, który uchroni nas przed czarnymi łabędziami, bo one jednak wbrew pozorom pojawiają się dość często.

@RY1@i02/2015/050/i02.2015.050.21400020b.802.jpg@RY2@

Bartłomiej Witucki, przedstawiciel BSA The Software Alliance w Polsce; Krzysztof Bączkiewicz, współautor normy ISO 19770-1; Sebastian Burgemejster, Stowarzyszenie Audytorów Wewnętrznych IIA Polska; Sławomir Pijanowski, prezes Stowarzyszenia Zarządzania Ryzykiem POLRISK; Kazimierz Klonecki, partner w EY; Ronald Binkofski, general manager Microsoft Polska; Wojciech Szpil, prezes Totalizatora Sportowego; prof. Andrzej Koźmiński, ekonomista specjalizujący się w zakresie zarządzania, długoletni rektor Akademii Leona Koźmińskiego; Marek Tejchman, zastępca redaktor naczelnej Dziennika Gazety Prawnej

not. jk