Governance er blevet et buzzword, der de senere år har fundet vej til bestyrelser og direktioner i både private og offentlige virksomheder. Governance er hovedsageligt baseret på ISO38500, men sammenfaldet med ISO27001 er så iøjnefaldende, at erfaringerne herfra sagtens kan bruges, når du skal arbejde med Governance i virksomheden.

    DESIGN med ledelsen i førertrøjen.

    I designfasen er det vigtigt, at ledelsen tager ’førertrøjen’ sammen med de IT-ansvarlige, så der ligger en klar strategi for en løbende vurdering, tilpasning af tiltag og opfølgning.

    UDFØRELSE med ISO38500 i ryggen.

    Følgende 6 punkter er centrale i Governance:

    • Strategi er bindeleddet mellem ledelsen og de IT-ansvarlige. Ledelsen informerer om, hvor forretningen er på vej hen, og i hvilken grad denne kurs kræver IT-understøttelse. Det er de IT-ansvarliges pligt at holde sig opdaterede på den teknologiske udvikling, og informere ledelsen om hvordan det kan understøtte de forretningsmæssige strategiske mål.
    • Ansvar skal uddelegeres fra direktionen til ledelsen i organisationen, med opfordring om løbende at komme med evalueringer og forbedringsforslag til optimal IT-understøttelse mod forretningsprocesserne. På denne måde sikres den største værdi for virksomheden, med den investering der er gjort i IT-systemerne. Denne løbende evaluering skal ske i tæt dialog med de IT-ansvarlige, så der etableres en gruppe af personer med indsigt i forretningen og indsigt i IT-området, der sikrer at IT-anvendelsen bliver optimal.
    • Erhvervelse af nye IT-aktiver/systemer skal foretages i tæt dialog med ledelsen, så det sikres at IT-systemerne understøtter de nuværende og fremtidige strategiske forretningsmæssige målsætninger. En opgave der kræver at ledelsen og de IT-ansvarlige løbende afstemmer virksomhedens målsætning.
    • Ydelsen fra IT-systemerne og de personer der driver systemerne, skal til stadighed have fokus fra ledelsens side. Der skal foretages en vurdering af værdien af de enkelte systemer, og den forretningsmæssige risiko der er forbundet med IT-anvendelsen. Ledelsen skal desuden foretage en vurdering af, hvad udfald af et eller flere systemer eller de personer der driver systemerne vil betyde for virksomhedens mulighed for at opfylde de forretningsmæssige målsætninger.
    • Efterlevelse af love, krav, normer, interne politikker og regler, skal løbende have opmærksomhed fra ledelsen side. Såfremt ledelsen ikke er bekendt eller ajour med disse, eller ikke formidler dem til de IT-ansvarlige, kan det medføre, at IT-anvendelsen ikke er ’compliant’. Virksomheden kan dermed risikere at overtræde lovgivningen og/eller skade virksomhedens image. De eneste der kan sikre, at dette ikke sker er ledelsen, da de skal holde sig ajour indenfor deres respektive områder og tage dialogen med de IT-ansvarlige så IT-systemerne opfylder kravene.
    • Menneskelig adfærd er i sidste ende det, der skal bære virksomheden frem mod de strategiske målsætninger. Det er ledelsens ansvar, at der løbende sker en evaluering og tilpasning af de menneskelige ressourcer, der er til stede i virksomheden, samt en vurdering af det potentiale de besidder, og den risiko de udgør i forhold til anvendelsen af virksomhedens IT-systemer. For at sikre den størst mulige ”kvalitet i den menneskelige adfærd” er det ledelsens ansvar at udforme en tilstrækkelig række politikker, regler og procedurer, som sikrer en ensartethed i anvendelsen af IT-systemerne og dermed en højnelse af kvaliteten og minimering af risici. Ledelsen skal desuden tage ansvar for at skabe den nødvendige awareness i virksomheden.
    RAPPORTERING og løbende forbedring

    Forudsætninger, behov, trusler og konsekvenser kan hurtigt ændre sig og give et nyt billede, så det er vigtigt at rapporteringen og opfølgningen systematiseres hos både ledelsen og de IT-ansvarlige.

    X