IT-styrning Vad ledning och styrelse behöver känna till om informationsteknologi

1 Provläsning

IT-styrning Vad ledning och styrelse behöver känna till om informationsteknologi 2009 Författaren och Uppsala Publishing House AB Adress: Uppsala Publishing House, Box 2070, 750 02 Uppsala Tfn: 018-55 50 80, Fax: 018-55 50 81 E-post: info@uppsala-publishing.se, www.uppsala-publishing.se Omslagsbild: Maureen Perez/Istockphoto Omslag: Daniel Åberg Grafisk form: Daniel Åberg Redaktör: Nina Pettersson Upplaga: 1:1 ISBN: 978-91-7005-382-5 Tryckeri: Bulls Graphics, Halmstad 2009 2 Detta verk är skyddat av lagen om upphovsrätt till litterära och konstnärliga verk.

Innehåll Introduktion... 11 Styrelsens uppgifter... 12 Vad menas med IT-styrning?... 15 Det handlar om att hantera information... 21 Att veta vad som pågår... 23 IT som en generellt användbar teknologi... 28 Bokens disposition... 29 Några viktiga frågor... 36 Litteratur... 37 1 Information möjligheter och risker... 39 Sammandrag... 40 Information och data... 42 Informationshanteringens risker... 44 Informationssäkerhet... 54 Informationsarkitekturen... 57 Styrelsens och ledningens ansvar... 58 Några viktiga frågor... 62 Litteratur... 63 2 Hur viktig är tekniken?... 65 Sammandrag... 66 Hur kan IT-beroendet beskrivas?... 68 Infrastruktur och arkitektur... 73 Behovet av IT-kompetens... 76 3

Styrelsens och valberedningens ansvar... 78 Några viktiga frågor... 82 Litteratur... 83 3 Vem fattar besluten och på vilket underlag?... 85 Sammandrag... 86 Beslutsmodeller rationella och andra... 88 Vem fattar besluten?... 93 Hur styrs IT i framgångsrika företag?... 98 Styrelsens och ledningens ansvar... 103 Några viktiga frågor... 106 Litteratur... 107 4 Alla dessa regler att efterleva... 109 Sammandrag... 110 Några viktiga lagar och regelsystem... 112 Att bygga upp rutiner för regelefterlevnaden... 119 Styrelsens och ledningens ansvar... 125 Några viktiga frågor... 128 Litteratur... 129 5 IT i den dagliga verksamheten... 131 Sammandrag... 132 Problem med IT och informationstjänsterna... 133 Ramverk till stöd för företagets mognadsprocess... 143 Gapet mellan vad man vill och vad man får... 147 Styrelsens och ledningens ansvar... 150 Några viktiga frågor... 154 Litteratur... 155 4

6 När IT möjliggör förändring... 157 Sammandrag... 158 Var finns problemen?... 161 IT som stöd för affärsutveckling... 165 Styrelsens och ledningens ansvar... 172 Några viktiga frågor... 176 Litteratur... 177 7 Värdet av IT för företaget...179 Sammandrag... 180 Mognadsprocessen... 182 Hur anpassa IT och verksamhet till varandra?... 187 Värdestyrning och ramverket ValIT... 191 Styrelsens och ledningens ansvar... 197 Några viktiga frågor... 200 Litteratur... 201 5

6

Förord P å ett frukostseminarium hamnade jag en gång bredvid en man med omfattande erfarenhet av att arbeta i företagsstyrelser. Vårt samtal gled in på dagens informationsteknologi och han utbrast spontant: Du förstår, man har nästan alltid en klump i magen när man i en styrelse ska fatta beslut i större IT-frågor. Det är ju sällan man har någon riktig överblick över vad beslutet innebär. Det samtalet gav mig en viktig impuls till den här boken. Mitt intresse för det som på engelska kallas IT Governance, på svenska bolagsstyrning av informationsteknologi eller kort och gott IT-styrning, väcktes i de diskussioner vi förde i nätverket Generalisterna i början av 2000-talet. Jag vill därför tacka alla medlemmar i det nätverket för det givande utbyte av erfarenheter vi haft genom åren. Även ISACA Sweden Chapter är värda ett tack för det moraliska stöd jag fått, och för att medlemmar i både styrelsen och FoU-kommittén läst och kommenterat delar av min text i olika stadier. Likaså tackar jag de kolleger och andra som tagit sig tid att läsa och kommentera manuskriptet. Ni kan ta åt er en del av äran för bokens eventuella förtjänster. Eventuella fel och brister tar jag själv ansvar för. Boken är tänkt att kunna fungera både som en handbok och som en översikt över hur informationsteknologin kan användas för att skapa värde i företag och offentlig verksamhet. Den kan mycket väl läsas från pärm till pärm. I det fallet kan det vara klokt att hoppa över de samman- 7

drag som inleder varje kapitel, för att undvika en känsla av upprepning. De läsare som endast vill fördjupa sig i ett eller några enstaka kapitel kan förslagsvis läsa introduktionen och sedan koncentrera sig på det som är av intresse och bara läsa sammandragen för de övriga kapitlen. Varje kapitel avslutas med ett antal frågor och en litteraturlista. Frågorna är dels tänkta som en hjälp för styrelsemedlemmar och andra att diagnosticera sin egen kännedom om hur det egna företaget hanterar IT, dels tänkta som direkta frågor som en styrelse kan ställa till vd och via internrevisorerna till företaget som helhet. Litteraturlistan redovisar källor som jag själv inspirerats av. Den ger samtidigt tips för fördjupning åt den som så önskar. Att skriva boken har varit som att skjuta mot ett rörligt mål. Medan jag skrev publicerade samtliga ramverk av betydelse nya, uppdaterade versioner. Den internationella standardiseringsorganisationen (ISO) gav ut en helt ny internationell standard med rekommendationer för hur styrelse och företagsledning kan hantera informationsteknologin. Lagstiftning pågår med förändrade krav på företagens informationsgivning och styrelsens ansvar anpassade till nya direktiv från EU. Och till råga på allt kom hösten 2008 den stora kollapsen i handeln med företagsaktier och värdepapper, som tydligt visat bland annat hur viktig öppen informationshantering är. Det är min förhoppning att boken ska bidra till att färre företagsledare och styrelseledamöter får ont i magen när IT-frågor ska behandlas och även till att informationsteknologin intar sin naturliga plats i företagens verksamhet. Stockholm i januari 2009 Rabbe Kurtén 8

Introduktion s 2 s 2 s 2 s 2 s 2 s 2 s 2 s 2 s 2 s9 9

Styrelsens uppgifter Styrelsen ska förvalta bolagets angelägenheter i bolagets och samtliga aktieägares intresse. 3.1 I styrelsens uppgifter ingår bland annat att fastställa verksamhetsmål och strategi, tillsätta, utvärdera och vid behov entlediga verkställande direktör, se till att det finns effektiva system för uppföljning och kontroll av bolagets verksamhet, se till att det finns en tillfredsställande kontroll av bolagets efterlevnad av lagar och andra regler som gäller för bolagets verksamhet, se till att erforderliga etiska riktlinjer fastställs för bolagets uppträdande, samt säkerställa att bolagets informationsgivning präglas av öppenhet samt är korrekt, relevant och tillförlitlig. (Ur Svensk kod för bolagsstyrning, 2008, avsnitt III.3) 10

V ad har citatet ur den nya svenska bolagskoden att göra i en bok om informationsteknologi (IT) och informationstjänster? Frågan är berättigad. IT uppfattas ju ofta som en fråga för specialister och tekniker, IT-frågorna hamnar sällan på styrelsens bord. Och när de någon gång gör det så kan det hända att vissa i styrelsen upplever att de inte riktigt har kontroll över vad som ska beslutas. Styrelsen och ledningen kanske då abdikerar och överlämnar de viktiga besluten till IT-avdelningens tekniker. Specialisterna är sällan förtrogna med företagets strategiska planer, knappast ens med målen för den dagliga verksamheten. Många undersökningar visar att en viktig orsak till misslyckade IT-satsningar är att ansvaret hamnat för långt ner i beslutshierarkin. Projektledningen har saknat överblick och befogenhet att fatta de avgörande besluten. I en undersökning, IT-styrning i privat och kommunal verksamhet 2007, utförd av Öhrlings/PriceWaterhouseCoopers, intervjuades ekonomicheferna i 400 svenska företag och kommuner. I rapporten konstateras bland annat att många företag upplever att IT-kostnaderna är alltför höga i förhållande till den nytta man tycker sig få ut av IT; att många företag saknar styrmodeller för IT-verksamheten och att man i mycket få företag rapporterar strategiska nyckeltal kring IT-verksamheten till ledningen. I en motsvarande global undersökning utförd av PriceWaterhouse- Coopers på uppdrag av IT Governance Institute (ITGI) i USA och publicerad 2008 tidigare undersökningar har publicerats 2004 och 2006 redovisas liknande resultat. Rapporten utmynnar i några viktiga konstateranden. Informationsteknologin ökar stadigt i betydelse. Samtidigt noterar rapportförfattarna att även om kontrollen över informationsteknologin i ökande utsträckning hamnar på ledningsnivå så ligger ansvaret för de dagliga informationstjänsterna fortfarande huvudsakligen på IT-chefens bord. Det blir allt vanligare att behovet av IT-styrning på 11

ledningsnivå erkänns, och många företag redovisar en mycket positiv bild av IT-styrningen i det egna företaget. Representanter för IT-sidan är i allmänhet något mindre nöjda med det egna företagets hantering av IT. Det tycks också finnas ett stort utrymme för förbättringar när det gäller hur informationsteknologin är anpassad till hur företagen styrs i övrigt. I rapporten redovisas ett antal problemområden där företagen upplever att de har problem. Det handlar då främst om informationssäkerhet, regelefterlevnad och problem kring människors sätt att fungera. Med tanke på hur viktiga informationstjänsterna är i företagens verksamhet i dag, och hur stor andel av företagens investeringar som handlar om informationshantering och informationsteknologi, så visar detta på att styrelse och företagsledning bör ta en mer aktiv roll i företagens IThantering. 2000-talets alla företagsskandaler har också bidragit till att kraven har skärpts på att företagsledning och styrelse ska ta ett personligt och fullt ansvar för företagens informationshantering och för den information företagen ger om sig själv. Vi har fått SarbanesOxley-lagstiftningen (SOX) i USA med dess ökade krav på styrning och kontroll. I Europa har EU utfärdat direktiv som skärper kraven på företagens interna och externa information och på framför allt den finansiella kontrollen. De nya direktiven skulle ha varit inarbetade i respektive lands nationella lagstiftning från och med andra halvåret 2008. Den svenska lagstiftningen dröjer dock fortfarande vid årsskiftet 2008/2009. Styrelsen och ledningen ges alltså ett ökat ansvar för den information som företagen ger om sig själva. Likaså skärps kraven på företagens riskhantering och interna kontroller. Det bör då ligga i alla styrelsemedlemmars intresse att företagen bygger upp sina interna kontrollsystem och hanterar risker på ett medvetet sätt, och att företagets informationstjänster fungerar så att den information som tillhandahålls går att lita på. Samtidigt kan man vända dessa utökade kontroller till något positivt, se dem som en möjlighet att ytterligare utveckla och förbättra företagets processer. 12

Information möjligheter och risker s 2 s 2 s 2 s 2 s 2 s 2 s 2 s 2 s KAPITEL 1 2 s 9 13

Sammandrag Hantering och användning av information har blivit allt viktigare såväl inom företagen som i samhället i stort. Med hjälp av ny teknologi har vi lärt oss att hantera stora datamängder. Data kan lagras, bearbetas och modifieras samt göras tillgängliga som användbar information i företagens värdeskapande processer. All information är inte lika betydelsefull. Därför ligger det i företagets intresse att göra den egna informationsportföljens sammansättning tydlig. Information bör klassificeras både efter hur viktig den är för verksamheten och efter hur sekretessbelagd den bör vara. Med verksamhetens ökande beroende av informationstjänster följer ökade risker. Informationsriskerna kan grovt sammanfattas i: risk för felaktig information på grund av misstag eller förfalskning; risk för läckage, informationsstöld eller otillbörlig spridning; risk för att informationen går förlorad eller inte är tillgänglig; risk för att information missbrukas eller används på ett felaktigt sätt; risk för att viss information aldrig registreras och därför går förlorad. Varje företag behöver någon som ansvarar för informationssäkerheten och som följer utvecklingen på området. Större företag kan behöva en hel säkerhetsavdelning. Den/de säkerhetsansvariga ska fungera som internkonsulter. Den som äger processerna och använder informationen ska fatta de slutliga besluten om säkerhetsnivåer och acceptabla risker. Varje företag behöver ha sin informationsarkitektur dokumenterad som en del av affärsarkitekturen. Dokumentationen av företagets informationsarkitektur ger ett underlag för bedömning av var företaget behöver satsa på IT-området. 14

I nformationshantering ingår som en väsentlig del i all organiserad verksamhet, privat såväl som offentlig, vinstdrivande som ideell. Detta kapitel ska handla om information i allmänhet och om hur information hanteras i företag och organisationer. Hur använder vi information i olika verksamheter? Vilken information är viktig? Vilken information är värdefull för företaget, och hur skyddar vi denna information och de värden den representerar? Hur skapar och realiserar vi värde för företaget med hjälp av information? En viktig aspekt av problematiken kring informationsbehandling är sambandet mellan tillgänglighet och värde. Information är värdefull bara om någon har användning eller nytta av den. Information som alla har tillgång till och kan använda som de vill har inte något direkt, ekonomiskt värde för någon enskild. Däremot kan sådan allmänt tillgänglig information ha ett stort indirekt värde för samhället och för dess enskilda medlemmar. Ju större den gemensamma kunskapsbasen är i samhället eller i en organisation, desto bredare är kontaktytorna mellan människorna, och desto större är chansen att nya, berikande kombinationer av tankar och idéer ska uppstå i samhället eller företaget. Detta är ett starkt argument mot onödigt hemlighetsmakeri såväl internt som externt. Å andra sidan kan det inte alltid undvikas att viss information hålls hemlig. Lagar och bestämmelser kan kräva detta. Företag och organisationer väljer själva att hemlighålla information och endast ge begränsad intern spridning åt vissa uppgifter. Det kan till exempel handla om bolagets finansiella ställning. Företaget vill behålla kontrollen över den bild av sig och verksamheten som syns utåt. Denna strävan efter sekretess måste hela tiden balanseras mot marknadens och andra intressenters behov av korrekt information och nödvändigheten av att de anställda har tillgång till all den information de behöver för sitt arbete. 15

Information och data Begreppet informationsteknologi (IT) är ett relativt nytt begrepp. Tidigare använde man som redan nämnts i introduktionen uttrycket Automatisk Databehandling (ADB). Det sistnämnda uttrycket beskriver egentligen bättre vad det handlar om. Datoriseringen och den därmed sammanhängande utvecklingen av kommunikationsteknologin har inneburit att vi skaffat oss allt kraftfullare verktyg att snabbt hantera stora datamängder. Det finns skäl att göra en åtskillnad mellan data och information. Så länge uppgifter finns i datorsystemen talar vi om data. Först när data används av en människa som kan göra något meningsfullt av tillgängliga data förvandlas data till information. Ny information i kombination med personalens tidigare färdigheter och kunskaper blir en utvidgad kunskap som i en arbetsprocess ytterligare kan förädlas. Rena data, ren databehandling, skapar inga värden för företaget. Värden uppstår först när individerna i en organisation gör data meningsfulla och sedan använder informationen på ett värdeskapande sätt. Detta glömmer man ofta bort när man driver utvecklingsprojekt inom IT. Projekten ses som rena teknikprojekt där man inte tar hänsyn till de mänskliga och sociala aspekterna. Det är trots allt människor, i organisationer uppbyggda av människor, som hanterar informationen. Ny teknik är värdefull bara om den möjliggör eller stödjer nya och förbättrade arbetsprocesser och skapar värden för organisationen. Hur har den automatiserade databehandlingen utvecklats? Utvecklingen på dataområdet har inneburit en ständigt ökad kapacitet att hantera allt större datamängder. Moores lag, som brukar citeras i sammanhanget, säger att antalet transistorer som ryms på ett chip fördubblas vartannat år ibland talar man om 18 månader samtidigt som priset halveras. Det betyder att både processorkraft och datalagringsutrymme 16

Hur viktig är tekniken? s 2 s 2 s 2 s 2 s 2 s 2 s 2 s 2 s KAPITEL 2 2 s 17 9

Sammandrag Alla företag är i dag mer eller mindre beroende av informationsteknologi. Detta beroende varierar mellan företag av olika storlek och med olika inriktning. Man kan klassificera företagets teknikberoende längs två axlar. Längs den ena axeln mäter man hur beroende företaget är av att informationen är tillgänglig. Måste informationssystemen vara tillgängliga alla dagar, 24 timmar om dygnet, eller räcker det att de är igång under arbetstid på veckodagarna? Hur långa avbrott kan tolereras? Hur snabbt måste systemen svara när användare begär information ur systemen? Den andra axeln mäter hur beroende företaget är av att befinna sig i den tekniska frontlinjen. Måste ny teknik implementeras så fort den blir tillgänglig? Eller är det viktigare för företaget att systemen är pålitliga och tekniken beprövad? I det senare fallet talar vi om ett defensivt beroende, i det förra är beroendet offensivt. Ett företag med ett starkt defensivt beroende bör sätta säkerheten främst. Ett företag med ett offensivt beroende har en högre riskexponering och bör satsa på riskanalys. Ny teknik innebär alltid okända risker. Betydelsen av en väldokumenterad arkitektur och en välfungerande infrastruktur växer parallellt med företagets teknikberoende. Företag med ett starkt teknikberoende behöver teknisk kompetens högt upp i företagshierarkin, i extrema fall till och med så att styrelsen inom sig kan behöva utse ett utskott för styrning av informationsanvändningen. Ju starkare företagets beroende av informationsteknologi är, desto mer kan styrelsen behöva ingripa aktivt i och ta ansvar för företagets hantering av IT. Informationsteknologin kan då vara själva grunden för företagets värdeskapande. 18

A ll verksamhet i dag använder informationstjänster och är följaktligen beroende av IT i en eller annan form. Teknikberoendet varierar dock i hög grad mellan företag. Därmed varierar även behovet av teknisk kompetens i företagsledning och styrelse. Även det mindre företaget vi kan kalla det Svantes Snickeri använder informationsteknologi. Offerter och fakturor skrivs på en PC och den anlitade bokföringsfirman bokför på dator. IT är en del av allas vår gemensamma infrastruktur. I den meningen ger informationsteknologin inte företagen några direkta konkurrensfördelar, snarare är det så att företag som inte utnyttjar teknologins möjligheter halkar efter i konkurrensen. Informationsteknologin skapar konkurrensfördelar och värde för ett företag genom det sätt på vilket företaget utnyttjar tekniken. Därmed är det också en stor skillnad mellan olika företag och mellan olika branscher vad beträffar hur beroendet kommer till uttryck. Enligt en forskningsrapport från MIT från 2005 representerar 7-Eleven i Japan ett lysande exempel på ett offensivt och framgångsrikt utnyttjande av informationsteknologins möjligheter. Liksom hos oss är 7-Eleven i Japan en franchisingkedja. Företaget har över 10 000 försäljningsställen. Varje butik har egna datorer. Dessa är sammankopplade till ett riksomfattande datanät som även inbegriper leverantörer och distributörer men också externa informationskällor. Totalt 70 000 datorer ingår i nätet. Alla beställningar sker över nätet, alla leveranser noteras i nätet och all försäljning registreras där. På butiksdatorerna presenteras även till exempel det lokala vädret, så att beställningarna kan anpassas till dagens väderförutsättningar med hjälp av den enskilda butikens försäljningsstatistik som relateras till väderförhållandena. Alla anställda 19

deltar i arbetet med att ta fram bästa varumix i butikerna, och har rätt att experimentera med beställning av nya varor. Systemet har drastiskt minskat lagerhållningstider och därmed kapitalkostnaderna samtidigt som antalet dagliga leveranser till de enskilda butikerna har minskat. Alltsammans har gjort att 7-Eleven år 2005 var Japans mest framgångsrika minuthandelskedja. Exemplet visar att även i branscher där man kan tycka att IT-beroendet kanske inte är så stort, kan en riktig IT-satsning ge mycket stora konkurrensfördelar. Hur kan IT-beroendet beskrivas? När man studerar ett företag beroende av informationsteknologi är det främst längs två axlar beroendet kan tydliggöras. Den ena axeln visar hur viktig tillgängligheten i informationssystemen är, den andra hur beroende företaget är av att hänga med i utvecklingen och använda den nyaste tekniken. En annan viktig distinktion att hålla i minnet är om företaget är verksamt inom en IT-relaterad bransch eller inte. Är de produkter och tjänster som företaget tillhandahåller IT-relaterade, så att produkterna skapar ett starkt IT-beroende? Å andra sidan kan företaget vara beroende av informationstjänster i sin interna verksamhet och i sitt sätt att göra affärer, oberoende av vad företaget producerar. Så är till exempel dagens banker i hög grad beroende av informationsteknologi medan bankernas tjänster inte är IT-relaterade annat än till sin yttre form. Däremot är företag som tillhandahåller system för mobil kommunikation och mobiltelefoner i högsta grad beroende av att hänga med i teknikutvecklingen i sina produkter, men behöver kanske inte i lika hög grad ligga i den tekniska frontlinjen när det gäller affärssystem eller produktionsmetoder. 20

Behovet av tillgänglighet Behovet av tillgänglighet är förhållandevis lätt att klargöra. Det handlar om ifall en tjänst ska kunna användas dygnet runt, alla veckans sju dagar, eller om det räcker att den är tillgänglig under arbetstid fem dagar i veckan. Det handlar också om hur snabbt systemen måste svara när användarna begär vissa data. Behovet klargörs bäst genom en analys av vad som händer om en tjänst uteblir. Vilka konsekvenser får det om systemet går ner och data ur systemet inte är tillgängliga under en minut, en timme eller en dag? För Svantes Snickeri fungerar IT-systemen som rena stödfunktioner. Bokföringen är utlagd på ett bokföringsföretag, och huvudsaken är att bokföringen sköts på ett lagligt och godkänt sätt, marginalerna är vida. Och när det gäller offerter, brev och fakturor, så kan företaget i värsta fall klara sig med en gammal skrivmaskin, om datorn är inne för reparation. Om vi å andra sidan ser på till exempel flygbolagens bokningssystem eller internetbankernas kundbetjäningssystem får vi exempel på system som måste fungera mer eller mindre utan avbrott alla dagar dygnet runt. Några timmars planerade avbrott någon sällsynt natt för uppgraderingar och underhåll är vad som kan accepteras, i övrigt ska systemen stå påslagna och gå oavbrutet. Opålitliga system med alltför frekventa oplanerade avbrott innebär inte bara direkta inkomstbortfall när systemen inte fungerar, utan också indirekta kostnader i form av irritation och vikande förtroende hos kunder och andra intressenter. När vi pratar om tillgänglighet pratar vi även om svarstider. Det finns standarder och normer som ger rekommendationer för vilka svarstider som krävs för att arbetet vid ett informationssystem ska fungera effektivt och inte skapa stress. Alla arbetsuppgifter ställer inte samma krav på systemen. Ett interaktivt och kontinuerligt arbete vid en skärm kräver betydligt kortare svarstider än ett mer intermittent arbete. Graden av stress hos den som ska utnyttja systemet påverkar naturligtvis också kraven på 21