Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld Executive d. 17. august 2007.
It-lederen og virksomhedsbossen bør tale sammen om risici ved it - men det er svært, og ofte taler de forbi hinanden. Lær at tale sammen og skab konkurrencefordele, lyder budskabet i ny bog.
Data kan forsvinde, it-systemer kan bryde sammen - og naturkatastrofer og terror kan vende op og ned på det hele én gang til.
Hele virksomheder risikerer at ryge med i faldet, hvis det værste skulle ske, og det hele går galt.
Især i de senere år er der kommet ekstra fokus på it risk management. Ikke uden grund.
11. september og voldsomme globale hackerangreb i begyndelsen af årtusindet vidnede om et behov for at tage risici med it-systemerne alvorligt og gøre begreber som disaster recovery, oppetider og sårbarheder til helt naturlige faktorer, en it-afdeling skal forholde sig til.
For sikkert?
I virksomhedens interesse vel at mærke. Men er den sunde fornuft gået over gevind? Har det måske udviklet sig til en gene for virksomhederne?
Det var i hvert fald, hvad George Westerman fra MIT's Center for Information Systems Research oplevede, da han kastede sig ud i at kortlægge, hvordan it-afdelingerne bedst opbygger it risk management-kompetencer.
"I it-afdelingen ser man typisk på risici ved at fokusere på driftsstabilitet og adgangsrettighederne til systemerne. Men samtidig har mange virksomheder behov for en pæn portion agilitet, som kan blive begrænset, hvis systemerne er for fastlåste," fortæller George Westermann til Computerworld, der er på besøg i CISR's kontorer i Boston.
Netop her sidder nogle af verdens førende forskere i det stadigt mere afgørende spændfelt mellem forretning og it.
George Westerman har brugt de seneste par år på at dykke dybt ned i emnet it risk management. Studierne er blevet til bogen "IT Risk: Turning Business Threats Into Competitive Advantage" og er skrevet i samarbejde med Richard Hunter fra Gartner.
I bogen forsøger de to eksperter at etablere en ny referenceramme for it-risici - en ramme, som både virksomhedsledelsen og it-ledelsen kan udnytte.
Ikke bare for at få en fælles forståelse. Også fordi det ligefrem kan give virksomheden en konkurrencefordel, hvis tilgangen er meget systematisk.
Den del kommer vi tilbage til.
Tal samme sprog
Først til vanskelighederne med at tale samme sprog.
George Westerman hiver et af de eksempler op, som han stødte på under sin research.
Historien handler om en amerikansk virksomhed, der sælger en løsning til medicin-recepter. Da de skulle skifte til en ny systemplatform, gik it-afdelingen i gang med at udvikle et system, der viste sig at være komplet skudsikkert. Det ville med meget stor sandsynlighed aldrig gå ned.
"I princippet var det jo godt tænkt, for virksomheden levede jo netop af denne virtuelle ydelse," siger George Westerman.
Men i kraft af det høje sikkerhedsniveau var der også givet køb på fleksibiliteten og brugervenligheden - og dermed også systemets kundevenlighed.
Så da virksomhedsledelsen blev inddraget, foreslog den et andet scenario - en internetbaseret løsning - og skruede dermed markant ned for driftssikkerheden.
"Forretningen mente ikke, at systemet behøvede at være 100 procent perfekt. Og det blev klart, at der internt i firmaet fandtes forskellige tærskler for, hvor sikkert systemet behøvede at være," siger George Westermann.
Ikke udsædvanligt
Og det er ikke usædvanligt, vurderer Westerman.
"It-afdelingerne har mange dygtige medarbejdere, der er gode til at håndtere risici inden for it - men ofte er de ikke så gode til at se på tværs af siloerne, og de får ofte heller ikke den anerkendelse og bevågenhed fra ledelsen, som er nødvendig," siger han.
Faktisk vil ledelsen som regel gerne bidrage, fortæller han:
"Men virksomhedsledelsen ved ofte ikke, hvilke spørgsmål de skal stille."
Sammen med Richard Hunter satte George Westerman sig for at udvikle et nyt, simpelt begrebsapparat, som tilgodeser både forretningens behov og it-behovene.
Det er blevet til de fire a'er på engelsk - availability (driftspålidelighed), access (adgang til systemerne), accuracy (korrekthed af informationerne) og agility (fleksibilitet).
Kunne ikke handle
Igen hiver George Westerman et eksempel frem fra bogen.
Et elektronikfirma ønskede på et tidspunkt at afhænde en af sine divisioner, fordi det gav mening i den overordnede strategi. Til gengæld viste det sig at være umuligt på grund af systemstrukturen.
"Det tog virksomheden tre år og 40 millioner kroner til et nyt ERP-system," siger George Westerman.
Med de fire a'er mener George Westerman, at det er muligt for virksomheder at balancere de forskellige risici.
Ingen kan nemlig skrue alle faktorer op på 100 procent. Derfor bør de fire faktorer vægtes nøje afhængigt af virksomhedens strategi.
George Westerman indrømmer, at det er dyrere og ofte mere tidskrævende. Men på længere sigt sparer det virksomhederne for stort besvær, der ofte kan være udløst af meget kortsigtede beslutninger.
"Det er så nemt hurtigt at skabe nye systemer, der løser en eller anden opgave, men man risikerer at skabe en spaghettistruktur af systemer. Og det kan koste på alle fire områder. Ikke alene på driftsstabiliteten og sikkerheden, men også på mulighederne for at handle fleksibelt og på baggrund af korrekte informationer," siger George Westerman.
"Der skal altså prioriteres. Og det er forretningsfolkene meget gode til - og derfor er det en god idé at lade dem gøre det," siger George Westerman om rollefordelingen mellem it og virksomhedsledelsen.
Når de fire begreber først har fundet fodfæste, så viser det sig ifølge George Westerman, at kunne munde ud i en gennemgribende optimering af virksomheden og dermed give en konkurrencemæssig fordel.
Få forretningsfordele
Dog kræver det lidt styr på systematikken.
"Hvis man ser på de fire områder enkeltvis som en tjekliste, åbner man ikke døren til de nye muligheder," siger han.
Men hvis man - som George Westerman foreslår - systematisk ser på de forskellige risici-områder nedefra og op, så vil der være en gevinst at høste for de penge, som bliver kastet i risk management.
"Hvis man begynder at se nærmere på driftsstabiliteten, vil det ofte have en gavnlig effekt på tilgængeligheden, korrektheden af informationerne og fleksibiliteten. Og arbejder man med begrebet tilgængelighed, vil det ofte have en betydning for korrekte informationer og fleksibiliteten - og så fremdeles," siger han.
"Ved at bygge det op nedefra, undgår man en masse brandslukning, fordi it bliver struktureret - og der ligger en masse muligheder," siger George Westerman.
Bogen "IT Risk: Turning Business Threats Into Competitive Advantage" indeholder også råd og vejledning til, hvordan it-afdelingen bedst opbygger og styrker sine it risk management-kompetencer.
Faktaboks 1: De 4 A'er
Availability - eller på danske driftspålidelighed - er et begreb, som it-afdelingen allerede kender rigtigt godt, og som mest af alt handler om oppetider og genskabelsen af systemerne efter nedbrud.
Access - tilgængelighed - handler om, at alle de rigtige personer har adgang til de relevante systemer, samt at ubudne gæster ikke får adgang.
Accuracy - korrekthed af informationer - handler om, at alle informationer er rigtige. Begrebet dækker også over, hvordan virksomheden har kendskab til, at informationerne er korrekte, som den amerikanske Sarbanes Oxley-lovgivning kræver. Og om virksomheden for eksempel har det komplette overblik over den globale forsyningskæde.
Agility - fleksibilitet - handler om virksomhedens evne til at handle og hele tiden tilpasse sig.
Faktaboks 2: Fakta om CISR
CISR er en gruppe forskere på MIT Sloan School of Management i Boston. Gruppen gransker udelukkende i spændfeltet mellem it og forretning - og dækker således emner som it-governance, business engagement og enterprise architecture.
Faktaboks 3: Om bogen
IT Risk, Turning business threats into competitive advantage
Af George Westerman, Richard Hunter
Harvard Business School Press
Koster netop nu 23,10 dollars på Amazon.com
OriginalModTime: 16-08-2007 14:34:34
