Att det finns ett behov inom företag och myndigheter att utveckla insikten och förmågan att hantera och minska den operationella risken med avseende på it råder ingen tvekan om.
Nyligen drabbades ett antal organisationer av haverier på grund av brister hos en outsourcingpartner, och flera myndigheter har i dag stora problem då stora it-projekt inte fallit ut som planerat. En ledande bank skrev 2012 av dryga 700 miljoner då man inte hade en tillräckligt bra utvecklingsmodell, ett globalt läkemedelsföretag förlorade samma år stora pengar på grund av produktionsbortfall efter införandet av ett nytt affärssystem, och nyligen fick ett universitetssjukhus ställa in sina operationer på grund av driftstörningar.
Detta är exempel på realiserade operationella risker som kunde begränsats med en bättre modell för hantering och styrning av it på ledningsnivå. Emellertid styrs it ofta enligt en modell som innebär en onödig och hög operationell risk på styrelse- och ledningsnivå.
I bästa fall har organisationen infört ett balanserat styrkort (introducerades för 20 år sedan genom Kaplan & Norton).
Fördelarna här är att it inte uteslutande mäts utifrån ett kostnadsperspektiv, vilket än i dag inte är ovanligt då cio ofta rapporterar till cfo.
Företagsledningar sätter i dag konkreta mål för it utifrån ytterligare parametrar och nyckeltal som kvalitet eller tillgänglighet i den dagliga leveransen, status avseende strategiska projekt samt personal- och hr-dimensionen. Det ekonomiska utfallet utgör emellertid fortfarande huvudfokus.
Problemet grundar sig delvis i att ledning och styrelse visserligen inser att it har ett stort värde och är av strategisk natur, samtidigt uppfattar man det som komplext och svårt att förstå. Är cio:n inte representerad i dessa sammanhang utan företräds av cfo är det naturligt att huvudfokus blir på just kostnader. Intressant är att cfo normalt ansvarar inte bara för ekonomi och it, utan ofta även for företagets riskhantering.
Det finns dock vägar att snabbt göra förbättringar avseende operationell riskkontroll och ökad kvalitet som kan leda till kostnadsminskningar och en förbättrad styrning. Genom att analysera och kartlägga företagets operationella risker (till exempel inom kundreskontror, betalningar, informationssäkerhet, externa leverantörer, behörigheter, projektstyrning, interna processer inom it och personalomsättning) kan man snabbt bilda sig en allmän uppfattning om riskerna samt kvantifiera den operationella risken.
Utifrån detta kan man sedan på taktisk nivå arbeta undan de mest akuta riskerna samt lägga en plan för framtida riskreduktion. Parallellt inför man lämpligen en styrningsmodell som innebär att en styrgrupp med ett antal ledande befattningshavare tillsammans med cio styr arbetet med att reducera den operationella risken över tid.
Konsekvensen blir att styrelse och ledning kan sätta konkreta mål för hur och hur mycket cio (och andra) ska reducera risken kommande verksamhetsperiod. Så kommer man på ett effektivt sätt ifrån fokus på kostnader och kan styra cio:n mot en mer effektiv leverans med minskad operationell risk och kvalitet som resultat.
Björn Ovar Johansson, Interim cio och grundare av Senior IT Executive in Sweden.