ISACA Sweden Chapter

IT-styrningen är styrelsens ansvar!

Bra IT-styrning handlar inte om vad CIO:n gör, utan om vad styrelsen gör. Detta hävdar Rabbe Kurtén, författare av boken ”IT-styrning: vad ledning och styrelse behöver känna till om informationsteknologi”. Detta sätt att se ansvarsfördelningen har diskuterats omfattande i den akademiska litteraturen.  Det är styrelsens yttersta ansvar att nyttja företagets IT-tillgångar för att leverera det verksamheten och kunderna vill ha för att på sikt öka företagets aktievärde. Många akademiker har utvecklat konceptuella modeller hur både IT-styrning och exempelvis informationssäkerhetsstyrning ska integreras i den övergripande bolagsstyrningen och genomsyra alla skikt i en organisation. Sedan har normativa rekommendationer föreslagits hur IT-styrning ska integreras i bolagsstyrningen för att leverera 5 mål med god IT-styrning; strategisk anpassning av IT och verksamhet, riskhantering, nytta, resurshantering och effektivhetsmätetal. Konceptuella modeller i all ära, men vad forskningen borde fokusera mer på och vad som torde vara mer intressant för praktiker är vilken kvalitetsbristkostnaden är av att inte prioritera IT-styrning så att den hamnar på ledningens agenda. Kvalitetsbrister kan i detta fall till exempel vara att projekt inte levereras i tid, att de löper över budget (nyttoaspekten), risker inte analyserar och hanteras (riskaspekten), incidenter (riskaspekten), ineffektiv resursallokering som leder till felkatiga och kostsamma prioriteringar (resurshanteringsaspekten). Ja, listan kan göras lång.

En som håller med om både vikten av att få styrelsen att ta mer ansvar av IT-styrningen och vikten av att påvisa kvalitetsbristkostnader av att inte göra detta är Sid Huff från Victoria University of Wellington. Huff presenterar icke så häpnadsväckande forskningsresultat i “Examining the View of both CEOs and CIOs on the Role of the Company Board of Directors Vis-à-Vis IS Matters”. I studien har hundratals företagsledningar intervjuats inom IT-relaterade frågor. Huff beskriver i studien att alltför många företag har ledningar som inte är underrättade om företagets IT-vision och dess (önskvärda) integrering med företagets vision. Styrelsen diskuterar inte nämnvärt mycket om den strategiska IT-planen och dess anpassning till företagets strategiska affärsplaner. IT-risker har diskuterats, men inte i full utsträckning. Resultaten påvisade nästintill totala avsaknad av en intellektuell debatt rörande IT-frågor. Ledningen uppfattar (fortfarande) IT-frågan som alltför teknisk. Huff föreslår att styrelsen bör inrikta sig på att rekrytera minst en styrelsemedlem med IT-bakgrund. Vidare så bör styrelsens ordförande inse att IT-frågor förtjänar att tas upp på dagordningen.

Att bedriva forskning för att påvisa att framgångsrika företag har IT-relaterade frågor på agendan (gör rätt) och även påvisa kostnaden av att inte bedriva god IT-styrningen (eller ex informationssäkerhetsstyrning) är något vi akademiker bör lägga mer krut på. Detta kan även motivera varför IT-frågor bör ha större betydelse, IT-budgetar och ge stöd i styrelsens prioriteringsdilemman.  Företag får även en morot att få upp IT-relaterade frågor på agendan och även kunna få råd hur detta ska gå till på ett mer resultatorienterat sätt.

/Waldo