Der findes en international standard der kan hjælpe bestyrelsen og beslutningstagerne i forretningsenhederne til at få styr på anvendelsen af IT. Det er også den eneste standard der er bygget op om principper frem for deciderede beskrevne specifikation.

Der er dog meget en organisation kan lære af ISO/IEC 38500, når det kommer til IT-styring og ledelse af IT, da standarden beskriver, hvordan en organisations forretningsenheder kan være med til at oprette et styrende organ der kan prioritere blandt andet IT-investeringer.

De seks principper

Standarden beskriver seks principper der er relevante at få implementeret i forhold til at opnå fordelene ved investeringer i IT (Hamidovic 2010 & ISO/IEC 2008):

1. Ansvar der omhandler hvem som må træffe beslutning om IT-løsninger og IT-projekter og ansvaret for IT-drift.
2. Strategi omhandlende at forretningsstrategien skal tage udgangspunkt i hvilke forretningsegenskaber som informationsteknologierne kan give dem.
3. Indkøb omhandlende hvem der har retten til at indkøbe IT, IT-konsulentydelser og hardware samt software.
4. Performance der omhandler at forretningens IT-behov jævnligt bliver evalueret og kapacitet bliver tilpasset.
5. Conformance, hvor informationsteknologierne understøtter lovgivning, som organisationen skal overholde.
6. Menneskelig adfærd der skal tages hensyn til.

De seks ovenstående principper er relevante at få implementeret, da de i udgangspunktet kan give repræsentanter fra forretningsenhederne mulighed for at påvirke IT-investeringer, hvilket vil sige projekter og anskaffelser samt nyudvikling. Det kan bruges til at understøtte de forretningsbehov som de enkelte forretningsenheder har, men det kræver også at ”the governance board” har en stærk repræsentation fra IT-afdelingen, så oplæg fra forretningsenhederne bliver truffet ud fra et kvalificeret grundlag.

Den overordnede model

ISO/IEC 38500 har til hensigt at implementere en model der giver bestyrelsen indsigt i organisationens brug af IT og samtidigt er med til at begrænse risici.

Fokus for standarden omhandler blandt andet at bestyrelsen sætter rammerne for at arbejde med risikominimering set i forhold til de forretningsbehov og forretningsmuligheder som organisationen oplever.

Bestyrelsen kan sammen med direktionen arbejde i retning af få prioriteret IT-projekterne i organisationen og få håndteret udfordringer med IT-driften.

Implementering

For at få etableret grundlaget for en IT-styregruppe der kan høste fordelene ved at implementere  ISO/IEC 38500 standarden, så kan organisationens enterprise arkitekter anvende følgende fremgangsmåde:

1. IT-lederen skal som minimum have samme status som regnskabschefen eller finansdirektøren.
2. Bestyrelsen skal nedsætte en speciel gruppe der håndterer IT-strategi eller strategi.
3. IT-lederen og den resterende gruppe af IT-ledelsen skal undgå at bruge IT-jargon.
4. Bestyrelsen og IT-styregruppen skal have mulighed for at engagere eksterne eksperter og konsulenter der kan give input til udarbejdelsen, monitoreringen, og ledelse af IT-porteføljen.
5. IT-lederen og IT-management teamet skal rapporterer til bestyrelsen og overleverer informationer om projekter og IT-drift ud fra et årshjul der understøtter bestyrelsens møder.
6. IT-lederen skal påskønne etableringen af en struktur, hvor en specialiserede gruppe i bestyrelsen kan give input til IT-lederen så en proaktiv forretningsorienteret IT-strategi kan etableres.
7. IT-lederen skal etablere et projektledelses kontor og en kontaktperson i IT-driften der kan blive involveret i IT-revision.

Den ovenstående fremgangsmåde understøttes af A.L. Holt (2013) der i sit værk beskrev en fremgangsmåde for at realisere gevinsterne ved implementeringen af standarden for IT-ledelse.

Krav til bestyrelsen

For at bestyrelsen kan få værdi ud af implementeringen af ISO/IEC 38500, så kræver det at bestyrelsen har de rette kompetencer og er villig til at nedsætte en specialiseret gruppe der har til hensigt at give direktionen i virksomheden input til at udarbejde en IT-strategi og en teknologistrategi og implementerer dem i organisationen. Det kræver ligeledes at den gruppe der sidder i den specifikke gruppe har kendskab til de overordnede fremgangsmåder og kilder til at sætte rammerne for udarbejdelsen af en forretningsorienteret IT-strategi.

Konklusioner

Implementeringen af ISO/IEC 38500 kan blandt andet bruges til at understøtte en bedre IT-ledelse, men også anvendes til at understøtte at bestyrelsen i organisationen kan holdes informeret om den måde som informationsteknologierne anvendes i organisationen både for samtiden, men også for i fremtiden. Standarden foreskriver blandt andet at forretningsstrategien i et eller andet omfang tager sit udgangspunkt i, hvilke forretningsegenskaber IT skal være med til at understøtte.

Standarden lider af den svaghed, at den er rettet imod Amerikanske bestyrelser og I od britiske bestyrelser. Begge er kendetegnet ved kun at være ”single-tier”, hvor imod den dansk måde at strukturere bestyrelser på typisk er ”second-tier”, hvilket betyder at bestyrelsen ikke i samme grad er involveret i den daglige drift, og bestyrelsen har ligeledes ikke samme grad ansvar eller mulighed for at påvirke den daglige drift.

Det er vigtigt at bestyrelsen og direktionen overvåger, evaluerer og leder IT-projekter og driften og de arbejder ud fra at skabe forretningsmuligheder og ud fra at begrænse risici der ikke at realisere gevinsterne ved implementering i projekterne.

Kilder

1. Calder, Alan. ISO/IEC 38500: The IT Governance Standard. Ely: IT Governance Publishing, 2008.
2. Hamidovic, H. ISACA, 2010.
3. Holt, Alison. Governance of IT: An Executive Guide to ISO/IEC 38500. Swindon: BCS, The Chartered Institute for IT, 2013.