ISACA Sweden Chapter

En CIO:s multipla roller

Rollen som CIO expanderar och inkluderar numer flera roller än den traditionsenliga IT-rollen. I en MIT CISR-enkät utdelad till 1508 CIO:s i över 60 länder fann man att CIO:s har multipla roller och tidsresurser allokeras inom 4 områden och på följande sätt:

• CIO:s allokerar sin tid (44%) till att leda IT-organisationen och dess anställda för att försäkra sig om att IT-infrastruktur , applikationer, projekt och relaterade tjänster ligger inom ramen för kostnader, risker and servicenivåer.
• CIO:s allokerar sin tid (36%) med att arbeta med kollegor utanför IT-sfären, både över hela bolaget och inom specifika affärsenheter, där denne arbetar med affärsstrategi, optimering av affärsprocesser, produkt- och tjänsteutveckling,  compliance och risker, samt prioritering av IT-investeringar.
• CIO:s allokerar sin tid (10%) med att träffa bolagets externa kunder, partners och kollegor som en del i sälj- och tjänsteleveransprocessen.
• CIO:s allokerar sin tid (10%) med att hantera affärsprocesser och den tekniska plattformen, vilket exempelvis inkluderar: tjänster, produktutveckling, bolagsansvar, miljöansvar, och en hel mängd andra mer specifika projekt.

Det uppstår dock en problematik mellan vad en CIO gör och vad denna, av sina seniora kollegor, förväntas göra. Nästkommande inlägg beskriver vad andra CxO:s i bolaget förväntar att dess CIO ska göra, och implikationerna för CIO:n i och med detta.

IT-styrningen är styrelsens ansvar!

Bra IT-styrning handlar inte om vad CIO:n gör, utan om vad styrelsen gör. Detta hävdar Rabbe Kurtén, författare av boken ”IT-styrning: vad ledning och styrelse behöver känna till om informationsteknologi”. Detta sätt att se ansvarsfördelningen har diskuterats omfattande i den akademiska litteraturen.  Det är styrelsens yttersta ansvar att nyttja företagets IT-tillgångar för att leverera det verksamheten och kunderna vill ha för att på sikt öka företagets aktievärde. Många akademiker har utvecklat konceptuella modeller hur både IT-styrning och exempelvis informationssäkerhetsstyrning ska integreras i den övergripande bolagsstyrningen och genomsyra alla skikt i en organisation. Sedan har normativa rekommendationer föreslagits hur IT-styrning ska integreras i bolagsstyrningen för att leverera 5 mål med god IT-styrning; strategisk anpassning av IT och verksamhet, riskhantering, nytta, resurshantering och effektivhetsmätetal. Konceptuella modeller i all ära, men vad forskningen borde fokusera mer på och vad som torde vara mer intressant för praktiker är vilken kvalitetsbristkostnaden är av att inte prioritera IT-styrning så att den hamnar på ledningens agenda. Kvalitetsbrister kan i detta fall till exempel vara att projekt inte levereras i tid, att de löper över budget (nyttoaspekten), risker inte analyserar och hanteras (riskaspekten), incidenter (riskaspekten), ineffektiv resursallokering som leder till felkatiga och kostsamma prioriteringar (resurshanteringsaspekten). Ja, listan kan göras lång.

En som håller med om både vikten av att få styrelsen att ta mer ansvar av IT-styrningen och vikten av att påvisa kvalitetsbristkostnader av att inte göra detta är Sid Huff från Victoria University of Wellington. Huff presenterar icke så häpnadsväckande forskningsresultat i “Examining the View of both CEOs and CIOs on the Role of the Company Board of Directors Vis-à-Vis IS Matters”. I studien har hundratals företagsledningar intervjuats inom IT-relaterade frågor. Huff beskriver i studien att alltför många företag har ledningar som inte är underrättade om företagets IT-vision och dess (önskvärda) integrering med företagets vision. Styrelsen diskuterar inte nämnvärt mycket om den strategiska IT-planen och dess anpassning till företagets strategiska affärsplaner. IT-risker har diskuterats, men inte i full utsträckning. Resultaten påvisade nästintill totala avsaknad av en intellektuell debatt rörande IT-frågor. Ledningen uppfattar (fortfarande) IT-frågan som alltför teknisk. Huff föreslår att styrelsen bör inrikta sig på att rekrytera minst en styrelsemedlem med IT-bakgrund. Vidare så bör styrelsens ordförande inse att IT-frågor förtjänar att tas upp på dagordningen.

Att bedriva forskning för att påvisa att framgångsrika företag har IT-relaterade frågor på agendan (gör rätt) och även påvisa kostnaden av att inte bedriva god IT-styrningen (eller ex informationssäkerhetsstyrning) är något vi akademiker bör lägga mer krut på. Detta kan även motivera varför IT-frågor bör ha större betydelse, IT-budgetar och ge stöd i styrelsens prioriteringsdilemman.  Företag får även en morot att få upp IT-relaterade frågor på agendan och även kunna få råd hur detta ska gå till på ett mer resultatorienterat sätt.

/Waldo

Mjuk IT-styrning part II

COBIT definierar IT-styrning som ”Styrelsen och ledningens ansvar som består av ledarskap, organisatoriska strukturer och processer för att säkerställa att företagets IT upprätthåller och utökar organisationens strategier och mål. I klarspråk betyder detta att IT-styrning inte är ledningens styrning med IT utan styrningen av IT som stödjer företagets affärsstrategi och mål.

I ett tidigare inlägg presenterade jag begreppet ”Mjuk IT-styrning”. Ett begrepp artikelförfattaren Kazuhiro Uehara tror kan bli ett användbart IT-verktyg för att stödja verksamheten.

Motsatsen till mjuk IT-styrning är givetvis ”Hård IT-styrning”. Denna styrningsform använder hårda resurser (T.ex. kraft, sanktioner, betalningar), ledningskommandon eller försöker få IT-personal/användare att direkt förbättra ledarskap, organisationsstrukturer och processer. Mjuk IT-styrning använder mjuka maktresurser (T.ex. institutioner, värderingar, kultur, politik), ledningen fastställer dagordningen för, lockar och samarbetar med sin IT-personal/användare för att indirekt skapa en bättre miljö i ledarskap, organisatoriska strukturer och processer.

För att konkretisera Mjuk IT-styrning mappas begreppet in i fyra processer i COBIT domänerna Plan and Organize, Acquire and Implement, Deliver and Support och Monitor and Evaluate. Några hårda och mjuka IT-styrningsexempel presenteras nu nedan.

Hårda exempel

PO1 Define a strategic IT plan

Den strategiska IT-planen kan inte godkännas om den inte är strategisk anpassad till affärsstrategin (sanktioner).

AI1 Identify automated solutions

Först när krav och genomförbarhetsstudier är dokumenterade och godkända kan projekt tas vidare till nästa fas (sanktioner).

DS1 Define and manage service levels

Straff eller belöningar tilldelas då servicenivåer uppnås eller inte uppnås (sanktioner, betalningar)

ME4 Provide IT governance

Försäkran om IT-styrning krävs och utförs av seniora IT-specialister med tillhörande certifieringar (T.ex. CGEIT, CISA) [Kraft]

Mjuka exempel

PO1 Define a strategic IT plan

Affärsintressenter och andra intressenter involveras tidigt i framtagandet av företagets IT-strategi. (värderingar, kultur, politik),

AI1 Identify automated solutions

Väletablerade metoder bör användas för att identifiera och bedöma of IT-lösningar. Dokumenten produceras i en fördefinierad struktur och effektiviserar produktion och underhåll (policy).

DS1 Define and manage service levels

Effektiv kommunikation (t.ex. genom en servicekatalog) mellan IT-ledning och företagskunder som rör IT-service och servicenivåer, är väletablerad och välkänd (Värderingar, kultur).

ME4 Provide IT governance

IT-chefer är aktiva i IT-relaterade föreningar för att förstå externa krav och föreskrifter. (Värderingar, kultur)

Styrning av informationsteknologi innebär inte att styra en organisations IT endast genom hård makt och kontroll över finanser och personal. Utöver, hård styrning (som är nödvändig till viss grad) menar Kazuhiro Uehara att företagsledningen bör väga in mjuka faktorer som i en kombination ger en mer komplett och ”sann” styrning. Detta kombinationskoncept kan även tillämpas för IT-hantering.

Avslutningsvis menar artikelförfattaren att baserat på IT-strategier, arketyper och mognadsnivåer, kan de hårda och mjuka IT-styrningsexemplen extraherade från COBITs processer kombineras för att förverkliga mer effektiv och välfungerande global IT-styrning.

/Waldo

Nyhet – nej, bekymmersamt – nej

Professor Erlands Jonsson (Chalmers) var i CSO Sweden nyligen under rubriken ”Omöjligt mäta säkerhet”. Vad Erland egentligen sa var att det inte finns, eller kommer finnas inom överskådlig framtid, ett (1)  heltäckande mått som fångar hela begreppet säkerhet. En åsikt som framhävs som kontroversiell i artikeln. Men det är den inte. Man har varit tämligen överens om detta sedan millennieskiftet, åtminstone i akademiska kretsar. Det är tex en av slutsatserna från denna workshop.

Det spelar ju inte heller så stor roll i praktiken. Det finns ganska mycket i vår värld som vi inte lyckats fånga i ett enda heltäckande mått. Hälsa till exempel. Precis som alla har en känsla för vad som god hälsa och vad som är sämre hälsa kan man ha en känsla för om ett system har god säkerhet eller inte. Men begreppet hälsa har man vridit och vänt på sedan de gamla grekernas tid. Precis som för säkerhet finns det olika definitioner av vad begreppet innebär och det finns inte ett heltäckande mått som fångar hela begreppet.

Det finns dock etablerade, beprövade och validerade sätt att mäta om man är vid god hälsa eller inte (den medicinska vetenskapen är ju förhållandevis mogen). Olika typer av blodanalys kan till exempel göras för att hitta hälsoproblem. Det finns sätt att mäta säkerhet (eller avsaknaden av den) också. Den stora skillnaden är hur validerade och etablerade och beprövade dessa mätmetoder är. Det är här man ska bli bekymrad.

Erland har handlett en doktorand vid namn Vilhelm Verendel som tittat på just valideringen av metoder för att mäta säkerhet.  Vilhelm har undersökt hur mätmetoder publicerade mellan 1981 och 2008 har validerats. Från 140 artiklar om säkerhetsmätning valde Vilhelm ut de 90 mest intressanta (radundanta togs bort osv). Sen letade han efter hur dessa hade validerats. Bara för en handfull metoder hade försök till validering gjorts i operationell miljö med empirisk data. För merparten består valideringen av ett fiktivt exempel eller liknande.

Efter sin licentiatavhandling bytte Vilhelm forskningsområde. Men artikeln artikel är läsvärd, den finns här och här. Man kan också låna hans licentiatavhandling.

Själv tycker jag att man kan ta avsaknaden av ett enda heltäckande mått på säkerhet med ro. På samma sätt som vi kan leva utan ett (1) endaste mått på hälsa klarar vi oss utan ett på säkerhet. Men man bör nog fundera på vad man egentligen mäter, vad dessa mätningar egentligen indikerar, och hur säker man är på det.

/Teodor  Somemstad (FoU) (KTH)

Mjuk IT-styrning

För att vara effektiv i sin IT-hantering har styrningskulturen för personal/användare och styrning av deras aktiviteter traditionellt fokuserat på ”betalning och påföljd”. Det är mycket enklare att styra på detta sätt när verksamheten huvudsakligen bestått av inhemska affärsenheter, där det räcker med att allokera IT-resurser inom närområdet.
Men mitt in den ekonomiska nedgången har globala företag inte råd att avsätta tillräckliga resurser, vare sig internt eller externt (outsourcing) för IT-ledningen att sprida över sina globala affärsenheter. Kazuhiro Uehara diskuterar detta i den senaste utgåvan av the ISACA journal. Styrningskulturen som kännetecknas av betalning och påföljd benämns av Uehara som hård IT-styrning. Uehara menar att en styrningskultur baserad på endast hård IT-styrning inte är tillräcklig för att hantera ett företags IT effektivt. Motsatsen till detta är givetvis mjuk IT-styrning. Uehara menar att i en global IT-styrningskultur kan detta nya begrepp komplettera och förbättra traditionell IT-styrning. Uehara refererar till författaren Joseph Nya när han introducerar begreppet. Baserat på boken ”Soft Power Theory: The Means to Sucess in World Politics”, defieneras först begreppet makt som:

Förmågan att påverka andra att få dem att göra vad du vill. Det finns tre huvudsakliga sätt att göra detta: ett är att hota dem med käppar, den andra är att ersätta dem med morötter, den tredje är att locka dem till att vilja det du vill. Om du kan få andra att lockas, att vilja vad du vill, kostar det dig betydligt mindre i form av belöningar eller straff (morötter och piskor).

Således myntade han begreppet mjuk makt till:

Länders förmåga att locka och övertala. Medan ett lands förmåga till hård makt beror av landets militära eller ekonomiska makt, uppstår mjuk makt från dess attraktionskraft, såsom dess; kultur, politiska ideal och principer.

Låter detta väldigt mjukt och hur kan nu detta relateras och fungerar inom IT-styrning?  Om detta synsätt fungerar inom den internationella politiken, varför då inte applicera det inom IT-styrning? I nästa inlägg beskriver jag hur detta görs med COBIT som utgångspunkt.

/Waldo

IT-Riskmognad

Hantering av IT-risker har aldrig varit viktigare än nu, samtidigt har den finansiella krisen lett till att investeringar i IT-riskshantering tvingas konkurrera med investeringar som för ledningsguppen verkar mer intressant, dessutom är budgeten alltmer begränsad. När företag alltmer försöker prioritera sina investeringar för att få ut så mycket nytta som möjligt för varje investerad krona, berör det givetvis investeringar i hantering av IT-risker. Arbetet med IT-risker bör således skapa förståelse för hur IT- och affärsprocesser, generellt, kan förbättras.

Tyvärr är inte IT-riskhantering lätt, eller långt ifrån ”staightfroward”. Hantering av IT-risker täcks av många fält såsom; informationssäkerhet, planering av avbrott, projektstyrning och att regler efterföljs. Ofta har dessa hanterats oberoende av varandra. IT-risksansvariga har tidigare arbetat med att proaktivt förhindra farliga incidenter orsakade av IT, såsom; oplanerade driftstopp, cyberattacker, projekt som löper över budget eller problem med att följa regler (exempelvis SOX). Fokus har legat på att proaktivt arbeta för att skydda verksamhetens information, inte förbättra. IT-riskshantering har även av många setts som en nödvändig (ond?) kostnad, inte något som skapar värde. Detta skyddstänkande kan ha påverkat flexibiliteten i verksamheten.

Vidare så har IT-risksansvariga använt sig av generella riskramverk och anpassat dessa till IT-domänen samt generaliserat dessa till domänspecifika ledningsriktlinjer för IT-risker, men missat det viktiga i att se IT-risker ur ett holistiskt perspektiv som en del av affärsriskerna som bör hanteras för att skapa affärsvärde.

Ett lovande ramverk som ser riskhantering holistiskt är ISACA’s nya IT-riskramverk. Ramverket är baserad på COBIT och täcker riskhantering ur ett bredare perspektiv. Då ramverket är processbaserad och inkluderar en mognadsmodell kan processernas effektivitet mätas, resursallokeringar prioriteras och frågan ”vad ska vi fokusera på för att förbättra effektiviteten och värdet av vårt riskarbete?”, besvaras.

Forskare på Massachusetts Institute of Technology (MIT) har nyligen påvisat att organisationer bör vara mogna i 3 discipliner för att täcka all riskhantering. Forskarna med ledning av George Westerman, visade att dessa tre discipliner av IT-riskhanteringen samarbetar för att förebygga risker för fyra centrala företagsmål. Westerman påvisade att företag som får högre värde från sina investeringar i IT-riskhantering är mogna i alla dessa tre discipliner:

• Ett starkt IT-fundament – som förvaltas väl och är endast så komplext som det krävs.

• En god Riskstyrningsprocess – för att förstå vilka risker företaget står inför och besluta vad som ska göra åt dessa.

• En risk medveten kultur – människor har tillräcklig medvetenhet om riskerna och är bekväma att prata om dem

Westemans centrala företagsmål benämner han som ”The four A framework. Fyra A står för: Availability, Access, Accuracy och Agility.

Generell IT-styrning har utöver att minska risker och anpassa IT till verksamheten, som syfte att generera värde eller bevara värde till bolaget i sig, IT ska då ses som en strategisk nyckeltillgång i bolagets övergripande styrning. Jag väljer att se IT-riskhanteringen ur ett sådant holistiskt perspektiv och benämner detta som bolagsövergripande IT-riskstyrning.

Hur kan då effektiv IT-riskstyrning mätas?

Jag tror att ISACA´s IT-riskramverk och MIT´s ramverk kan fungera som en grund för att både kvantitativt utvärdera mognaden i företags IT-riskhantering och ge normativa rekommendationer på hur företag kan få ut mer ur sitt riskarbeta genom att uppnå och bibehålla en balanserad mognad i sina processer. Jag har tidigare arbetat med COBIT´s mognadsmodell, mätt och utvärderat mognaden i IT-processer med goda resultat och ser en nytta med att använda en liknande mognadsmodell även för IT-riskutvärderingar. En kombination av en kvantitativ mognadsmodell extraherad ur IT-riskramverket och MIT´s mognadsmodell är mycket intressant att utforma, för att kunna: (i) utvärdera en organisations mognad i sitt riskarbete och se om det gör ”rätt saker”, (ii) ge normativa rekommendationer på vad de ska göra och hur resurser bör allokeras för att förbättra dess effektivitet genom att få upp/ned mognaden så att en mer balanserad övergripande mognad erhålls. (iii) med externa mätetal analysera korrelationen till nyttan bolaget som helhet erhåller av god IT-riskstyrning.

/Waldo

Det pratas om informationssäkerhet..

IT-säkerhet på strategisk nivå är hett nu, under SIG-AIS’s paneldebatt i tisdags så diskuterades detta, och  fler forskare inom Accounting Information System uppmuntrades till att fokusera på detta. Praktikerna håller uppenbarligen med, bland annat så skriver Ernst & Young i sin senaste årliga rapport om hur beslutsfattare inom Säkerhet- och Riskmanagement prioriterar säkerhetsarbetet till nästkommande år, första prioritering är att införa ett ledningssystem för informationssäkerhet för att hantera och minera risker på strategisk nivå. Vilka underbara nyheter, detta är, bland annat, vad min IT-styrnings forskning kommer att handla om!

Idag  blir det att, bland annat, närvara på ett CIO symposium om ”Regualtion, Compliance and Risk Management” med CIO´s och forskare inom bland annat SOX och Risk Management. Det är en hel del välkända namn med, inte så konstigt då det är Jerry Luftman (en av förgrundsgestalterna till teorier om strategisk anpassning mellan IT och verksamhet) som är ordförande för detta symposium.

/Waldo

Doing IT Research That Matters

..är temat för årets International Conference on Information Systems (ICIS) i Phoenix, Arizona. Jag är här för att presentera en artikel vid en tillhörande workshop som Special Interest Group for Accounting Information Systems (SIG-AIS) anordnar. Artikeln som jag skrivit tillsammans med bland annat Teodor Sommestad (ordförande för Forsknings och utvecklings kommittén på ISACA) föreslår indikatorer som kan användas för att effektivisera IT-process utvärderingar. Presentationen gick bra och efter presentationen pratade jag med editorn för en intressant tidskrift som menade att artikeln är intressant för publikation, toppen!

Något jag kommit fram till under flera intressanta diskussioner med både praktiker (IT-revisorer) och forskare inom redovisning och revision, är att gapet mellan ”oss” (forskare) och ”er” (praktiker) inte är så stor som jag tidigare trott, vilket är kul. Givetvis så är det inte många praktiker som är intresserade av hur hypoteser föreslås, metod eller analys av statistiska utvärderingar som vi pysslar med  utan mer intresserade av resultaten som IT kan bidra till (och gärna få höra ord som  ”kostnadseffektivitet” och ”processförbättringar” :)), vilket är förståeligt.  Men samarbeten mellan akademia och industrin ger båda parter stor nytta och något jag hoppas på ska vidareutvecklas inom våra intresseområden.

Nu ska jag iväg och lyssna på föredrag om den senaste forskningen inom IT-strategi och hur krav på IT-system analyseras, spännande!

/Waldo