IT-styring: Referat fra PFIT-møte

Det ble et lite møte – 12 personer – men med gode spørsmål og livlig diskusjon da PFIT arrangerte møte om IT-styring 26. februar 2007. Her følger mine notater fra foredraget og kommentarene:


Jens Nørve, Software Innovation, snakket om styring av IT i store organisasjoner. Formell styring av IT har alltid vært lurt, rent forretningsmessig, men med alle de nye reglene (Sarbanes-Oxley eller "Sox", Eurosox) blir det for mange selskaper (og i alle fall for de som har mye med USA å gjøre) i stadig større grad blir pålagt fra myndigheters eller finansmarkedets side.

IT-styring er i ferd med å struktureres som et fagfelt, ikke bare i fagmiljøene, men også ute i praksis. Jens opplevde denne prosessen i sitt arbeid i Telenor, hvor han hadde ansvaret for utviklingen av IT-strategien over en årrekke. Telenor kom fra en monopolistsituasjon og ble deregulert og privatisert over en relativt kort tid. Utviklingen har vært rivende – Telenor har nå over 100 millioner kunder og er tilstede i mange land. For å komme dit måtte man først lære seg å konkurrere, noe Tormod Hermansen gjorde ved å la de tusen blomster blomstre. Dette var viktig og riktig, men resulterte i et svært fragmentert bilde på IT-siden. Da Telenor fikk ny CIO (Knut Eirik Storsul fra Sparebank1,) ble det gjort et arbeid på å finne ut av hvor mye Telenor brukte på IT, og svaret var 2,6 milliarder. Det var klart at her var det penger å spare, samtidig som det var et stort behov for integrasjon på forretnings- og organisasjonssiden. Ved konsolidering av leverandører og ny styringsmodell klarte man å redusere IT-kostnadene med mer enn 500 millioner i året.

Den nye styringsmodellen var prinsippbasert, og la vekt på at forretningssiden skulle bestemme hva som skal gjøres, og IT-organisasjonen skulle bestemme hvordan det skulle gjøres. Denne formaliseringen har ikke alltid vært populær hos kundene – det var lettere å få IT-siden til å gjøre ting før – men en kostnadsreduksjon på 500m gir frihetsgrader. Rent praktisk flyttet man mye virksomhet til AS EDB (drift) og Accenture (utvikling). I det siste tilfellet ble nesten 650 distinkte leverandøravtaler forhandlet til en avtale. Telenors styringsmodell ble skrevet inn i avtalen med de to store leverandørene, med blant annet kontrollprosesser mot hovedarkitektur.

Det er imidlertid forskjell på hva man vedtar og hva som faktisk skjer. Overgangen til en ny styringsmodell var en stor endring – og på toppen fikk man Sarbanes-Oxley, ny lovgivning i USA i kjølvannet av Enron-skandalen. "SOX" pålegger alle USA-børsnoterte selskaper et internkontrollregime som bl.a. krevde at alle prosesser skulle dokumenteres – og som gjorde toppledelsen personlig ansvarlig for at loven var fulgt. Dette ville blitt kjempedyrt og kommet i tillegg til den store endringsprosessen man allerede var i gang med. Hvordan løse dette problemet – det er i alle fall ikke aktuelt å gå av børs i USA?

Det er i alle fall klart at man må trekke på allerede eksisterende modeller og rammeverk – helst standarder som COBIT. Man begynte med å klassifisere alle systemer inn i 13 porteføljeområder (som CRM, mellomvare, etc.), som hver for seg fikk en ansvarshavende, gjerne den største brukeren. Dermed fikk man både synliggjort hvor mye ressurser som ble brukt på hver type software, og plassert ansvaret for å rasjonalisere (i hovedsak, redusere antallet systemer) innenfor hver portefølje. Alt ble samlet i en modell som ble lagt på intranett – og som viste hvem som hadde ansvar for hver enkelt del av hele IT-organisasjonen. Modellen på intranett var "klikkbar" og gjorde at man kunne finne ut i detalj alt som skulle gjøres, for eksempel for å få godkjent et stort systemutviklingsprosjekt. Samtidig fikk hver enkelt delprosess en eier.

Den kanskje vanskeligste delen var å få gjennomført at alt skulle dokumenteres i henhold til hva revisjonen krevde. Dette var et stort kulturelt sprang, og det ble meget viktig at eierskapet til de enkelte prosesser ble fastsatt og distribuert i organisasjonen. At bonuser ble knyttet til at prosesser blir dokumentert og etterfulgt har også hjulpet.

Telenor har gått gjennom en prosess som mange andre bedrifter kommer til å måtte gjennomgå – som et resultat av "Eurosox", et regelverk som ligner på SOX og som vil gjelde alle aksjeselskap i Europa og alle selskap "av samfunnsmessig betydning." Styret blir ansvarlig for internkontrollsystem, risiki skal evalueres og rapporteres på samme måte som økonomiske data rapporteres i dag.

Bo Hjort Christensen trakk linjene tilbake til the Klinger-Cohen Act, en lov som kom i 1996 i USA og som påla offentlige myndigheter å drive arkitekturdokumentasjon, og som lå til grunn for SOX. Bo mener at store bedrifter som Telenor må ha hva han kaller en "genbeskrivelse", i et elektronisk og intelligent format, nesten eksekverbart. Den skal være der for myndigheter, men også kunne brukes i samarbeid med andre selskaper. Strategiske partnerskap krever at man viser seg frem for hverandre – og her ligger mye av nytteverdien av slike dokumentasjonsaktiviteter. I tillegg kommer naturligvis nytten man får når man skal anskaffe ny teknologi – så man ikke trenger å beskrive nå-situasjonen om og om igjen hver gang man skal gjøre noe nytt.

Bo ser Eurosox som et krav om at ledelsen må ta ansvar for kvaliteten av regnskapstallene, som igjen krever kvalitet i de prosessene som leverer grunnlaget for tallene, og da blir det krav til verktøyene, noe som igjen setter krav til en dokumentasjonsinfrastruktur.

Espen Andersen snakket om organisasjonsmodeller, om hvordan IT-funksjoner i store selskap i stadig større grad profesjonaliseres og ligner hverandre: Et sentralisert produksjonsapparat, et profesjonelt, SLA-basert grensesnitt mot kundene, CIOs forankret i ledelsen og med ansvaret for IT-budsjetter og prosjektporteføljestyring i linjen. Mange CIOs er nå forretningsledere fremfor byråkrater. Nye organisasjonsformer begynner å komme frem, spesielt ser vi nå at mange bedrifter oppretter en sentralisert "Office of the CIO" med formalisert og nokså selvstendig ansvar for infrastruktur, forretningsmessig drift av interne tjenesteselskap, og etter hvert også egne funksjoner for innovasjon (distribuert nyskapning) og integrering av innovasjoner i "business as usual".