IT styrning- Från ett 1a, 2a och 3e linjeperspektiv

Transkript

1 IT styrning- Från ett 1a, 2a och 3e linjeperspektiv Josefin Nordlander Chef Koncernsäkerhet & Kontroll GRC-dagarna 8-9 oktober 2015

2 Vad menas med IT styrning? IT-styrning handlar om att styra IT så att den tillför så stort värde för verksamheten som möjligt. För att kunna göra detta måste verksamheten: ha en tydlig målbild och veta hur den ska ta sig dit (strategi). utifrån målbilden konkretisera vad det innebär utifrån ett IT-perspektiv. fastställa en IT-strategi som går i linje med verksamhetens målbild och strategi. kontinuerligt följa upp att IT-organisationen levererar rätt saker med rätt kvalitet och på rätt sätt.

3 Affärsstrategin & IT strategin måste hänga ihop Affärsstrategi Fastställer Påverkar IT strategi Fastställer IT trender Påverkar Stödjer Fastställer Affärsprocesser Stödjer Stödjer IT arkitektur IT organisation IT IT styrning Styrning

4 Vanliga misstag Mål och strategi fokuserar endast på affären och inte på hela organisationen, inklusive IT. Stödfunktioner hamnar utan riktning och får definiera sina egna mål och syften. IT strategin, om sådan finns, är inte utmanad av verksamheten och omfattar potentiellt inte områden såsom kommunikation och digitalisering som ställer krav på vilken riktning IT utveckling ska ha. IT trender tas inte i beaktning i strategiarbetet och övervakas eventuellt inte regelbundet. Verksamheten tar inte tillräckligt ansvar för sina affärsprocesser och ställer inte krav på IT arkitekturen och IT organisationen.

5 Vad leder då bristande IT styrning till? Roller och ansvar mellan IT och verksamheten blir oklara. Verksamheten får inte det IT stöd som de behöver och får spendera tid på att försöka få till adhoc utveckling inom sina respektive områden. Bolaget hänger inte med i utvecklingen kring digitalisering, säkerhet och kommunikation, vilket leder till omoderna lösningar som inte möter kunders behov och förväntningar. IT får inte tillräckligt tydlig vägledning kring vilka system som är kritiska för verksamheten och som behöver ha en viss typ av service nivå. Utvecklingsbehov uppmärksammas inte eller för sent, vilket kan leda till IT skulder där kritiska IT miljöer inte hanteras som sig bör!

6 Förvaltningsstyrd IT handlar om förväntningar Processer Information Hur? Vem? Varför? När? Verksamhetsarkitektur Informationsarkitektur Vad? IT-stöd IT-arkitektur Var? 6

7 Vidmakthålla och/eller vidareutveckla? Strategiskt Vidmakthålla Drift Förvaltning Utveckling Vidareutveckla Operativt

8 Först måste verksamheten identifiera behov både kortsiktigt och långsiktigt Identifiera processer Kartlägg processer Mappa IT tjänster till process Informationsklassificering 8

9 Identifiera processer Identifiera processer Ta fram förteckning på processer Identifiera vad som är väsentligt Påverkar kunder Påverkar intern adm. Påverkar ekonomiska flöden Regulatoriska krav Utse processägare 9

10 Kartläggning av processer ger mkt information Kartlägga processer Regelverk som påverkar processens utformning Huvudsakliga aktiviteter i processen Vilka IT system som stödjer processen När kontroll görs och vilka beslut som fattas i processen Intressenter till processen t.ex. personal, kunder, myndigheter, leverantörer Resultat/uteffekt 10

11 Mappning av IT miljön kopplat till processerna Mappa IT tjänster till process Identifiera IT tjänster (system, tjänster, filer) som stödjer affärsfunktionen Fastställ SLA nivå Fastställ systemägare på verksamhetssidan & systemansvarig på IT sidan Tekniska plattformar Krav på återställningsplaner Behov av reservlösningar 11

12 Informationsklassificering Informationsklassificering Identifiera informationsområden Fastställ informationsägare Gör informationsklassificering Sekretess Riktighet Tillgänglighet Spårbarhet 12

13 Applikationsportfölj WS1 - Nuläge Planer och utredningar TIME analys Nuläge dokumenteras i TIMEdiagram kompletterat med sammanställning med trafikljus. WS2 - Plan för applikationsportfölj År 1 År 2 År 3 År 4 Taktisk Strategisk Förvaltningsplan år 1 A, B, C D, E, F G, H 13 Förväntat läge (strategi + prio) Bolaget Verksamhetsområde Systemområde IT-strategi IT-arkitektur VE-arkitektur Technical roadmap Målarkitektur Obligatoriska rubriker (för konsolidering per VO och koncern) Egna förslag

14 TIME 1. Stöd till verksamheten Värde för kund och verksamhet 3. Data och informationskvalitet, tillgänglighet 4. Var i sin livscykel 5. Robusthet 6. Kompetens/domänexperter VE 7. Ekonomi 8. Kompetens/domänexperter IT 9. Förändringsgrad under förvaltning 10. Stöd vid förändringar 11. Arkitektur och design 12. Teknisk plattform i linje med lagd strategi 13. Drift och produktion 14. Komplexitet

15 När styrning finns kan uppföljning ske Vilka krav och varför... Krav Kontrollkarta Styrdokument Outsourcing avtal IT Kravområde 1. Strategisk IT planering Finansiering & Affärsplanering IT 2. Riskhantering av IT 3. Lagar & förordningar 4. Hanteringar av förändringar i IT miljön 5. Val av IT lösningar 6. Implementation av IT lösningar 7. Systemutveckling 8. Outsourcing av IT 9. IT drift 10. Informations och IT säkerhet 11. Förvaltning av IT tillgångar Konkreta, avtalade krav... Kvartalsvis rapportering Kontrollresultat

16 Hur kan 2a och 3e linjen bidra? Granskningar kan snabbt påvisa om verksamhetens styrning av IT ej fungerar. Områden som är relevanta att granska är: Strategi och affärsplanering- Hur hänger IT ihop med affärsstrategin? Har man tagit höjd för digitalisering och kommunikation? Har man koll på konkurrenter och trender? Är det tydligt vilka affärsområden som man vill satsa på och som kommer kräva IT insatser? Prioriteras IT resurserna rätt? Har man rätt kompetenser för den strategi man fastställt? Verksamhetsstyrning- Finns det tydligt ägarskap för samtliga applikationer och lagringsytor? Ställer verksamheten krav på hur dessa applikationer/lagringsytor ska hanteras på kort/lång sikt? Tar man i beaktning samtliga relevanta områden, såsom systemdokumentation, behörighetshantering, kontinuitet, utvecklingsbehov etc.? Outsourcing- Sannolikt används externa parter för vissa IT leveranser. Har man koll på vilka av dessa leveranser som är s.k. outsourcing? Har man tagit höjd för relevanta krav i outsourcingavtalen, såsom nedtider, incidenthantering och rapportering, behörighetskontroll, rätt till granskning etc.? Hur ofta följer verksamheten upp leveranser? Framgår det i avtal vad som är godtagbart avseende leveranser?