IT-governance (även kallad IT-styrning på svenska), beskriver de processer, strategier och verktyg som organisationer använder för att säkerställa effektiv användning av IT – för att nå mål och minimera risker. I den här artikeln diskuterar vi begreppet IT-governance, vad det är och varför det är viktigt för ditt företag.
En snabb överblick av det viktigaste
- IT-governance (IT-styrning) är ett ramverk av processer, strategier och verktyg som hjälper organisationer att säkerställa att IT stödjer affärsmål, skapar värde och minimerar risker, till skillnad från vanlig IT-hantering som främst fokuserar på drift.
- IT-governance syftar till att: generera affärsvärde, övervaka ledningens prestationer och minska IT-relaterade risker, inklusive problem med shadow IT (icke-godkända system).
- Styrelse och VD har det yttersta ansvaret för IT-governance, CIO/IT-chef implementerar strategin och mäter resultat, medan verksamhetschefer och medarbetare säkerställer att riktlinjer följs i den dagliga verksamheten.
- Implementering av IT-governance hjälper företag att maximera ROI på IT-investeringar, förbättra IT-prestanda, följa lagar och EU-direktiv som GDPR, NIS2 och DORA, samt skapa förtroende hos intressenter och säkerställa strategisk IT-planering.
Vad är IT-governance?
IT-governance, som växte fram från bolagsstyrning på 1990-talet, handlar om att knyta ihop ett företags mål, affärsmål och IT-hantering på ett smart sätt.
Det är ett ramverk som hjälper till att se till att IT-systemen i din organisation inte bara fungerar, utan också verkligen stödjer företagets strategier och mål.
Till skillnad från vanlig IT-hantering handlar IT-styrning om att skapa en struktur som ser till att allt går som det ska och att risker hanteras på rätt sätt.
IT-governance har tre huvudmål, och de kan nås genom att sätta upp en struktur som ansvarar för information, affärsprocesser, applikationer och infrastruktur.
Användningen av informationsteknologi behöver:
- Generera affärsvärde
- Övervaka ledningens prestationer
- Minska risken kopplad till informationsteknologi
IT-governance är användningen av företagsresurser som stöder god bolagsstyrning.
En stor riskfaktor på företag är de IT-system som IT-avdelningen inte har godkänt, eller ens vet att anställda har. Dessa kallas för shadow IT. Mer om shadow IT kan du läsa här.
Varför är IT-governance viktig?
IT-governance gör det möjligt för en organisation att:
- Visa mätbara resultat mot bredare affärsstrategier och mål.
- Uppfylla relevanta juridiska och regulatoriska krav.
- Försäkra intressenter om att de kan ha förtroende för organisationens IT-tjänster.
- Underlätta en ökning av avkastningen på IT-investeringar; och
- Följa vissa regler eller krav för bolagsstyrning eller börsnotering.
Fördelarna med att implementera ett ramverk för IT-governance
IT-governance är en nyckelkomponent i bolagsstyrningen som hjälper till att säkerställa att dina IT-investeringar ger bra resultat och att riskerna som kan uppstå med IT hanteras effektivt.
Genom att införa ett stabilt ramverk för IT-governance för att hålla koll på IT-verksamheten kan ditt företag skaffa sig en stark konkurrensfördel.
Med IT-governance kan ni:
- Anpassa IT till företagets affärsmål
- Maximera avkastningen på IT-investeringar (ROI)
- Minska IT-risker
- Planera strategisk IT
- Mäta prestationer
- Integrera IT i organisationens kultur
- Optimera IT-verksamheten
Från "bra att ha" till skarpt lagkrav (NIS2, GDPR och DORA)
Med införandet av tunga EU-direktiv som NIS2 (som rör cybersäkerhet i samhällsviktiga sektorer), DORA (för digital operativ motståndskraft inom finanssektorn) och den ständigt aktuella dataskyddsförordningen (GDPR), ställs enorma krav på hur organisationer hanterar sin data och säkerhet. Ett fungerande ramverk för IT-styrning är ofta det enda sättet att strukturerat säkerställa, och bevisa, att dessa lagkrav efterlevs.
Det är också viktigt att poängtera att ansvaret har flyttats uppåt: med de nya direktiven räcker det inte att peka på IT-avdelningen om något går fel, utan styrelse och företagsledning kan numera hållas personligt ansvariga vid allvarliga brister i IT-styrningen.
Vilken typ av organisation använder IT-governance?
Både offentliga och privata organisationer behöver se till att deras IT-funktioner verkligen stödjer affärsstrategier och mål.
Ett formellt IT-styrningsprogram är viktigt för alla organisationer som måste följa regler kring finansiellt och teknologiskt ansvar.
Att sätta upp ett omfattande IT-styrningsprogram kan dock vara ganska tidskrävande och kräver en del arbete. Små organisationer kanske bara behöver de mest grundläggande metoderna för IT-governance, medan större och mer reglerade företag bör sikta på ett heltäckande IT-styrningsprogram.
Vem ansvarar för IT-governance?
En av de absolut vanligaste missuppfattningarna är att IT-governance är ett isolerat "IT-problem" som ska lösas av teknikerna på IT-avdelningen. I själva verket är det en strategisk ledningsfråga som börjar i styrelserummet. För att lyckas krävs ett tydligt samspel och ansvarsfördelning mellan olika nivåer i företaget:
- Styrelse och VD (Ledningen): Bär det yttersta ansvaret. Det är på denna nivå som de övergripande affärsmålen sätts och budgeten fördelas. Ledningen måste sätta den strategiska riktningen för hur IT ska stödja affären och säkerställa att kraven på riskhantering efterlevs.
- CIO / IT-chef: Fungerar som bryggan mellan affärsmålen och tekniken. Denna roll ansvarar för att driva strategin, implementera de valda ramverken och kontinuerligt mäta och rapportera prestationerna tillbaka till ledningen.
- Verksamhetschefer och medarbetare: Den dagliga verksamheten måste förstå varför riktlinjerna finns och följa dem. Det är i det operativa arbetet som IT-styrningen testas i praktiken, exempelvis genom att medarbetare följer säkerhetspolicys och undviker att använda icke-godkända system (shadow IT).
Vilka är exempel på ramverk för IT-governance?
Att implementera ett IT-styrningsprogram börjar med att välja ett ramverk. Ramverken för IT-styrning skapades av branschexperter och innehåller vanligtvis viktiga vägledningar och instruktioner för att hjälpa företag att göra en smidig övergång till IT-styrning. Här är några av de mest populära ramverken för IT-styrning:
COBIT
Ursprungligen utformat som ett ramverk för IT-revision, har COBIT utvecklats för att fullt ut omfatta IT-governance, med särskilt fokus på riskhantering och riskreducering.
CMMI
För de organisationer som är mest intresserade av att förbättra IT-prestanda kan CMMI-ramverket vara den optimala lösningen. CMMI använder en numerisk skala (1–5) för att bedöma ett företags IT-prestanda, lönsamhet och kvalitet.
COSO
Även om COSO inte är lika specifikt inriktat på IT som vissa av de andra ramverken, är det ändå en effektiv lösning för IT-governance för organisationer som vill lägga större fokus på att motverka bedrägerier, riskhantering och andra affärsaspekter.
FAIR
FAIR är ett nyare ramverk för IT-governance som är utformat för att mer direkt hantera operativa riskfaktorer och IT-säkerhet. Trots att det är nyare än många andra ramverk har det redan fått ett betydande antal användare.
ITIL
ITIL är kanske det mest välavvägda av ramverken och kombinerar IT-hantering med IT-governance för att säkerställa att alla relevanta IT-tjänster är i linje med företagets kärnprocesser.
NIST
NIST-ramverket finns specifikt för att hjälpa till att hantera och minska säkerhetsrisker i IT-infrastrukturen och innehåller standarder och riktlinjer för att förebygga, identifiera och hantera cyberattacker.
Vem ansvarar för IT-governance?
En av de vanligaste missuppfattningarna är att IT-governance är ett isolerat "IT-problem" som ska lösas av teknikerna på IT-avdelningen. I själva verket är det en strategisk ledningsfråga som måste genomsyra hela verksamheten. För att lyckas krävs ett tydligt samspel mellan olika nivåer i företaget:
- Styrelse och VD (Ledningen): Bär det yttersta ansvaret. Det är på denna nivå som de övergripande affärsmålen sätts och budgeten fördelas. Ledningen måste sätta den strategiska riktningen för hur IT ska stödja affären och säkerställa att kraven på riskhantering efterlevs.
- CIO / IT-chef: Fungerar som bron mellan affärsmålen och tekniken. Denna roll ansvarar för att omsätta ledningens vision till en praktisk strategi, implementera de valda ramverken och kontinuerligt mäta prestationerna.
- Verksamhetschefer och medarbetare: Den dagliga verksamheten måste förstå varför riktlinjerna finns och följa dem. Det är i det operativa arbetet som IT-styrningen testas i praktiken, exempelvis genom att medarbetare följer säkerhetspolicys och undviker att använda icke-godkända system (shadow IT).
Hur väljer man rätt ramverk för IT-governance?
De flesta ramverk för IT-governance hjälper dig att förstå hur din IT-avdelning fungerar, vilka nyckeltal ledningen behöver och vilken avkastning IT ger från sina investeringar.
COBIT och COSO fokuserar mest på riskhantering, medan ITIL hjälper till att effektivisera tjänster och operationer. CMMI, som först var tänkt för mjukvaruutveckling, används nu även för hårdvaruutveckling, tjänsteleverans och inköp. FAIR är särskilt bra för att bedöma risker när det kommer till det operativa, samt cybersäkerhet.
När du väljer ramverk ska du alltid ha din företagskultur i åtanke. Finns det något ramverk som verkar passa perfekt för din organisation? Känns det rätt för dina intressenter? Då är det nog det bästa valet.
Och kom ihåg, du behöver inte begränsa dig till bara ett ramverk. Till exempel kompletterar COBIT och ITIL varandra bra – COBIT förklarar ofta varför något görs, medan ITIL visar hur det ska göras. Vissa organisationer använder både COBIT och COSO för informationssäkerhet.
Läs även: Så bygger du en smart IT-strategi.
Vilka är målen med IT-governance?
Som tidigare nämnts är det underliggande målet med IT-governance att exakt anpassa IT-lösningar med affärsmål. Mer specifikt är det utformat för att uppnå följande mål:
Leverera värde till intressenter
Det här målet är mer komplext än det verkar. De flesta organisationer har många olika intressenter, både interna och externa, och var och en kan ha sina egna intressen och uppfattningar om vad som utgör "värde". IT-governance tar hänsyn till dessa motstridiga intressen, samordnar flera uppgifter och säkerställer att värde levereras på alla nivåer.
Fastställa strategi
IT-governance ger insikter, transparens och mätbara data som företag behöver för att tydligt koppla IT till affärsvärde. Med hjälp av denna information kan företag sedan utveckla effektiva strategier för att maximera det värdet. IT-governance hjälper organisationer att förfina sin vision för IT-aktiviteter, etablera ett gemensamt språk för kommunikation på högsta nivå (och till styrelsen), och lägga en tydlig riktning för framtida tillväxt.
Minska risker
Ett väl genomarbetat IT-ramverk hjälper till att eliminera riskerna med skugg-IT, skapar en ram för en korrekt och uppdaterad riskbedömning, och säkerställer att alla system används på rätt sätt och är säkra. Men det handlar inte bara om att hantera riskerna med datastöld. IT-governance beaktar även de olika intressena hos olika intressenter, erbjuder tydliga lösningar när dessa intressen kolliderar, och hjälper till att minska riskerna med att avdelningar arbetar mot varandra.
Mäta prestation
Hur kan en organisation avgöra om deras IT-tillgångar fungerar tillsammans på rätt sätt och ger värde? Det enda sättet att vara säker på är att mäta resultaten. Genom att använda nyckeltal och mått som ingår i ramverket för IT-styrning kan beslutsfattare noggrant bedöma prestationen hos alla relevanta IT-resurser.
Så kommer du igång med IT-governance: 4 första steg
Att gå från teori till praktik kan kännas klurigt. För att undvika att fastna i administration är det bäst att ta det stegvis. Här är en konkret handlingsplan för hur ni påbörjar arbetet:
1. Kartlägg nuläget
Börja med att skaffa en ärlig överblick över er nuvarande IT-miljö. Vilka system och licenser betalar ni för, och framför allt – vilken "Shadow IT" (icke-godkända appar och program) används i smyg ute på avdelningarna?
2. Identifiera affärsmålen
Eftersom IT ska stödja affären måste ni veta vart företaget är på väg. Sätt er med ledningen och svara på frågan: Vad är det viktigaste vi vill uppnå? Handlar det om att minska säkerhetsriskerna, sänka kostnaderna eller möjliggöra snabbare tillväxt?
3. Välj ett anpassat ramverk (och börja smått)
Ni behöver inte implementera hela ITIL eller COBIT på en och samma gång. Välj det ramverk som bäst matchar er företagskultur och era största utmaningar. Börja i en liten skala, utvärdera och bygg sedan vidare.
4. Sätt upp tydliga nyckeltal (KPI:er)
För att veta om er IT-styrning faktiskt fungerar måste ni kunna mäta den. Definiera 3–5 tydliga nyckeltal som visar om IT levererar det värde ni kom fram till i steg 2.
