Governance Risk ComplianceFor mange virksomheder er it det mest værdifulde aktiv, men desværre også det mindst forståede. Mange virksomheder er omvendt godt klar over, hvilke fordele der findes ved brugen af it, derfor anvender virksomhederne bevidst it i forretningsførelsen.
Tilpasningen til overordnede virksomhedsstrategier, værdiskabelse gennem anvendelse af it, risici for forretningsførelsen ved anvendelse af it, kontrol med it-arkitekturen og investeringen i denne, udgør derfor kerneelementer i god it-governance.
For at opnå den optimale anvendelse af it bør virksomhedens ledelse altså optimere brugen af tilgængelige it-ressourcer, herunder applikationer, informationer, infrastrukturen, mennesker og arbejdsgange. Samtidig bør ledelsen skabe et overblik over, hvilke operationelle risici virksomheden står over for ved anvendelse af it og i dette lys beslutte, hvilket resultat en forretningsmæssig styring og kontrol med it bør give.
Ledelsesstyring (governance) er en strukturering af ledelse, fastlæggelse af strategiske mål, udøvelse af opfølgning, kontrol og ansvar. I forhold hertil kan eksempelvis ”Management” defineres som planlægning af administration og leverancer, implementering af beslutninger samt overvågning og afrapportering.
It-styring er lederskab med fokus rettet mod, hvordan it påvirker virksomhedens strategier, strukturer, systemer, bemanding og arbejdsgange. Der har været en tendens til, at opfatte it som en støttefunktion, der kan køre adskilt fra forretningens kerneområder. Denne opfattelse er imidlertid en stor hindring for en effektiv it-anvendelse, det er afgørende for at:
- It-styring bliver en integreret del af den samlede strategiske ledelse, og at forretningskritiske it-beslutninger bliver truffet og forankret på et overordnet ledelsesniveau (topledelse).
- Topledelsen får leveret de nødvendige metrikker, således at de nødvendige beslutninger kan træffes på et sagligt grundlag, og at der kan følges op og evalueres.
- Der fastlægges en struktur for jævnlig afrapportering mellem de forskellige beslutningsniveauer, og at der etableres en klar beslutningsstruktur og proces.
It-governance handler derfor i højere grad om, at fastsætte mål for it-anvendelsen, for de ønskede effekter og for organisationsudvikling end om it på et teknisk plan.
Målet er at skabe en sammenhæng mellem medarbejdere, processer, teknologi og forretningen.
Enhver virksomhed har en mission. I denne digitale tidsalder er der rigtig mange virksomheder, der har valgt at basere de forretningskritiske missioner på anvendelsen af informationsteknologi, hvormed en forretningskritisk afhængighed til it er gældende.
Forretning er it – it er forretning
Risikostyring spiller en afgørende rolle i at beskytte en virksomheds forretningskritiske missioner mod it-relaterede risici.
En effektiv risikostyring er derfor en vigtig faktor for effektiv beskyttelse. De vigtigste mål for virksomhedens risikostyring bør være at beskytte virksomheden og dens evne til at udføre dennes mission og ikke kun sine it-aktiver.
Derfor bør risikostyringen ikke udelukkende betragtes som en it-teknisk disciplin, som udføres af it-eksperter, men mere som et væsentligt ledelsesaspekt af hele virksomheden.
Risikoen udtrykkes som en negativ indvirkning på forretningsførelsen som følge af en given sårbarhed. Ved vurdering af risici overvejes både sandsynligheden for, at en hændelse indtræffer og den eventuelle indvirkning på forretningsførelsen. Risikostyring er derfor en proces der omhandler identificering af risici, vurdering af risici og reducering af risici til et acceptabelt niveau.
Risikovurderinger giver et godt fundament til udvikling af et effektivt program til risikohåndtering eller deciderede handlingsplaner, som både indeholder definitioner og praktisk vejledning. Disse er nødvendige for at vurdere og afbøde identificerede risici ved anvendelse af it-systemer. Det endelige mål er, at hjælpe virksomheder til at kunne identificere og håndtere it-relaterede risici.
Risikostyring er en meget vigtig parameter i, at virksomheden kan opnå sine forretningsmæssige mål.
Compliance betyder ”at være i overensstemmelse med”. I mange virksomheder er der tvivl om, hvor ansvaret for compliance er placeret. Compliance er dog ikke kun gældende i forbindelse med eksterne krav, da interne forretningsmæssige krav i lige så høj grad er vigtige for it-afdelingen at være i overensstemmelse med.
Compliance er også et fællesbegreb for de love, bestemmelser, normer og standarder, nationale såvel som internationale, som virksomheder skal overholde. Ikke kun for at sikre sig, at der ikke sker overtrædelser, men også for at imødegå risikoen for negativ påvirkning af virksomhedens forretningsmål eller omdømme.
Mange danske virksomheder er underlagt særdeles komplicerede lov- og myndighedskrav, eksempelvis kan nævnes persondataloven, logningsbekendtgørelsen, sikkerhedsbekendtgørelsen og DS484. Knappe ressourcer gør det ofte vanskeligt at sikre overholdelsen af alle de relevante lov- og myndighedskrav, idet det kan være vanskeligt at holde sig ajour med og implementere rele-vante krav på lov- og myndighedsområdet på de rigtige niveauer i virksomheden.
Andre virksomheder kan se en forretningsmæssig værdi i at følge anerkendte rammeværker og standarder såsom CobIT, CMM, ISO27001, ISO27002, ISO9000, ISO20000 og ITIL.
Derfor hjælper vi virksomheder med at efterleve interne såvel som eksterne krav såsom lov- og myndighedskrav, samt relevante standarder inden for bl.a. it-anvendelse, informationssikkerhed og it-governance.
Operational ExcellenceRammeværker og standarder kan give virksomheden en god rettesnor for, hvordan operationelle it-aktiviteter udføres og om disse er i tråd med virksomhedens overordnede behov og krav. Operational Excellence indføres i virksomheden for at tilsikre, at it-miljøet styres optimalt og at alle processerne kontinuerligt forbedres, både til gavn for budgetterne i it-afdelingen samt kundetilfredsheden og ikke mindst til understøttelse af virksomhedens øvrige arbejdsprocesser.
