![Mårten ­Simonsson lägger fram sin doktorsavhandling med titeln Predicting "IT Governance Performance – a Method for Model-Based Decision Making" på Kungliga Tekniska högskolan i ­Stockholm den 17 oktober 2008.](/polopoly_fs/1.182596.1306956064!imageUploader/250314771.jpg "Mårten ­Simonsson lägger fram sin doktorsavhandling med titeln Predicting "IT Governance Performance – a Method for Model-Based Decision Making" på Kungliga Tekniska högskolan i ­Stockholm den 17 oktober 2008.")
Introduktion. Syftet med denna artikel är att visa hur IT-avdelningens interna processeffektivitet påverkar verksamhetens grad av nöjdhet med IT-styrningen. Med denna kunskap får du som CIO reda på vilka interna IT-processer som spelar roll för att uppnå god extern IT-styrningsmognad. Vilket i sin tur gör det möjligt att ta genvägar för att förbättra IT-styrningens kvalitet!
Bakgrunden är följande. I takt med att IT blir en alltmer integrerad del av affärsverksamheten, blir det allt viktigare att kunna fatta korrekta beslut i IT-frågor. Denna typ av beslut omgärdas dock av en lång rad problem. Det kan vara motsägelsefulla verksamhetskrav, kortsiktiga ekonomiska restriktioner, bristande kommunikation mellan affärsverksamheten och IT-avdelningen eller en oförmåga att förstå IT:s möjligheter och begränsningar.
God IT-styrning handlar om att tillhandahålla processer och beslutsstrukturer för att verksamheten ska kunna fatta välgrundade beslut i IT-frågor.
IT och verksamhet är svåra att separera, men vi väljer ändå begreppet IT-organisation för att ringa in alla de personer som är involverade i IT-beslut, må så vara taktiska beslut om IT-drift eller strategiska beslut om övergripande verksamhetsförändring genom nya IT-stöd.
Kvaliteten på IT-organisationen varierar mellan olika företag och beror av diverse faktorer, som hur roller och ansvar är fördelade, om IT-processerna är definierade och efterföljs, i vilken utsträckning verksamheten är dokumenterad och hurvida IT-avdelningen mäter sin effektivitet med hjälp av nyckeltal. Summan av dessa faktorer benämner vi här som intern IT-styrningsmognad.
Det är ganska lätt att öka den interna IT-styrningsmognaden genom att öka graden av styrning och kontroll. Men frågan är om det verkligen finns någon poäng med att följa processbeskrivningar till punkt och pricka? Att noggrant dokumentera sin verksamhet eller att genomföra prestandamätningar in absurdum? Svaret är nja.
Det viktiga är snarare att se till att IT-avdelningen effektivt kan leverera tjänster som stödjer affärsverksamheten. Denna aspekt, det vill säga hur nöjd verksamheten är med leveransen, benämner vi extern IT-styrningsmognad.
Den externa IT-styrningsmognaden kan vara svår att påverka direkt för någon som befinner sig i IT-organisationen, till exempel en IT-chef eller en CIO.
Ett rimligt antagande är dock att organisationer med god intern IT-styrningsmognad också har god extern IT-styrningsmognad (enligt Figur 1). Denna hypotes har emellertid aldrig testats i praktiken. I denna studie har vi därför undersökt hur kopplingen mellan den interna och externa IT-mognaden ser genom att analysera 35 svenska verksamheter.
Figur 1. En hypotes är att den interna IT-styrningsmognaden påverkar den externa IT-styrningsmognaden.
Störst är bäst, eller...?
Studien bygger på intervjuer med respondenter från de 35 verksamheterna. För att mäta den interna IT-styrningsmognaden används en förenklad variant av ramverken Cobit och Val IT. Och för att mäta den externa IT-styrningsmognaden används ett frågebatteri från Peter Weill och Jeanne Ross IT-styrningsmodell (se faktaruta).
För att mappa den interna processmognaden mot den externa i syfte att studera sambandet används verktyget ITOMAT – the IT Organization Modeling and Assessment Tool. (Se faktaruta).
Bland verksamheterna som studeras finns små och stora företag inom skilda branscher som bank/försäkring, bygg, bioteknik, energi, telekom och industri, ett antal kommuner samt några renodlade småföretag. (Tabell1)
En första slutsats är att den interna och externa IT-styrningsmognaden skiljer sig starkt mellan små och stora organisationer: stora organisationer har högre mognad än små, både internt och externt (Figur 2).
Det behöver dock inte betyda att IT styrs sämre i små organisationer. Det är naturligt att få beslutsfattare och informella beslutsvägar ställer lägre krav på detaljerade processer och dokumentation.
Intern och extern IT-styrningsmognad (Figur 2 och 3)
Organisationsstorlek - Figur 2
IT-styrningsmognad för organisationer med färre än 50 anställda samt stora organisationer. Mognaden mäts på en skala 0-5 där 5 är högst. Antalet genomförda fallstudier anges inom parentes.
Organisationstyp - Figur 3
IT-styrningsmognad för organisationer med fler än 50 anställda, fördelade på organisationstyp. Mognaden mäts på en skala 0-5 där 5 är högst. Antalet genomförda fallstudier inom parentes.
Resultatet vittnar snarare om att befintliga IT-styrningsramverk är för stelbenta för att fånga dynamiken i små organisationer.
Figur 3 visar resultaten i medeltal för de branscher där flest fallstudier genomfördes – kommuner, industriföretag samt bank och försäkring. Här ser vi att kommunerna har lägst intern IT-styrningsmognad, bank- och försäkringsbolagen högst och att industriföretagen hamnar i mitten. Den troliga orsaken är att det inom finansbranschen finns en lång tradition av hårda krav inom intern kontroll och bolagsstyrning, samt höga informationssäkerhetskrav. Dessutom är IT oerhört verksamhetskritisk och närmast en del av kärnverksamheten.
Vad gäller den externa IT-styrningsmognaden ser det dock lite annorlunda ut. Uppenbarligen är verksamheten svårflirtad inom bank och försäkring och det ställs högre krav på god IT-styrning. Trots högst intern IT-styrningsmognad är bank- och försäkringsfolket mindre nöjda än sina kollegor i kommuner och industriföretag.
Deltagande orgnisationer - Tabell 1
Tabell 1. De deltagande organisationerna. *Fem ytterligare enkäter besvarades via e-post
Mognaden korrelerar
Syftet med forskningen var alltså att studera sambandet mellan intern och extern IT-styrningsmognad. Finns det någon korrelation och är det i så fall samma organisationer som har höga respektive låga mognadsgrader?
I Tabell 2 kommer vi således till det intressanta. Den visar – process för process – korrelationen mellan den interna IT-styrningsmognaden för 34 IT-processer enligt Cobit och den externa IT-styrningsmognaden, det vill säga hur processen ifråga upplevs av verksamheten.
Korrelationen mellan intern och extern IT-styrningsmognad - Tabell 2
Tabell 2. Korrelation mellan intern IT-styrningsmognad för 34 processer och den externa IT-styrningsmognaden. Resultat på 95 % konfidensnivå.
En första iakttagelse är att den interna IT-styrningsmognaden för nästan alla processer korrelerar med den externa mognaden.
Vad IT-organisationen gör spelar alltså roll – det lönar sig att ha koll på sina processer. Att ha någon form av dokumentation på plats, sätta tydliga roller och ansvar och arbeta kontinuerligt med uppföljning är viktigt! Och allra viktigast är processen för att definiera IT-organisationen, dess roller och ansvar. Om det inte finns någon styrning på plats är det helt enkelt svårt att leverera tjänster som verksamheten blir nöjd med. Två andra viktiga processer berör kvalitetsstyrning och hantering av kostnader.
I många omogna organisationer ses kvalitetsstyrning som en verksamhetsfråga utan beröringspunkter med IT. I diskussion med en expertgrupp fastställdes vikten av ett kvalitetsarbete som genomsyrar även IT-organisationen – något som resultaten från denna studie bekräftar. Vikten av att ha en mogen process för kostnadskontroll kan troligen förklaras med synen på IT som en ren kostnadspost i många organisationer. Låga kostnader, snarare än hög kvalitet, är ofta styrande för IT-verksamheten och nästan alla mätetal som används för uppföljning är monetära. Således ligger det nära till hands att de organisationer som är mogna med avseende på kostnadskontroll också anses som välfungerande hos verksamheten.
Mognaden hos några av processerna korrelerade svagt eller inte alls med den externa IT-styrningsmognaden. Hit hör problemhantering, hantering av servicenivåer samt kapacitets- och prestandahantering. En tolkning av detta resultat är att vissa processer kan ses som rena hygienfaktorer. Naturligtvis måste du som CIO se till att en effektiv problemhanteringsprocess finns på plats – det ses som självklart, men ger för den skull ingen guldstjärna i kanten. Det finns heller ingen anledning att excellera inom dessa områden, det är bättre att satsa sin kraft på något annat som är mer värdeskapande.
Sammanfattningsvis kan sägas att resultaten varierade kraftigt mellan olika organisationer. Genom att studera korrelationen erhölls en bättre förståelse för hur organisationerna var uppbyggda och resultaten kunde användas för att ge konkreta förbättringsförslag. Detta ger i sin tur möjlighet att förändra IT-styrningen baserat på kunskap om vilka processer som spelar mest roll för att verksamhetens krav ska kunna tillgodoses.
Vissa processer är rena hygienfaktorer, de ska finnas på plats men påverkar verksamhetens upplevelse av IT-styrningsmognaden endast i liten utsträckning.
Således – lägg ditt krut på att fatta rätt beslut om roller och ansvarsfördelning, kvalitetsstyrning och kostnadskontroll så blir chefen nöjd! ]
Bakgrunden är följande. I takt med att IT blir en alltmer integrerad del av affärsverksamheten, blir det allt viktigare att kunna fatta korrekta beslut i IT-frågor. Denna typ av beslut omgärdas dock av en lång rad problem. Det kan vara motsägelsefulla verksamhetskrav, kortsiktiga ekonomiska restriktioner, bristande kommunikation mellan affärsverksamheten och IT-avdelningen eller en oförmåga att förstå IT:s möjligheter och begränsningar.
God IT-styrning handlar om att tillhandahålla processer och beslutsstrukturer för att verksamheten ska kunna fatta välgrundade beslut i IT-frågor.
IT och verksamhet är svåra att separera, men vi väljer ändå begreppet IT-organisation för att ringa in alla de personer som är involverade i IT-beslut, må så vara taktiska beslut om IT-drift eller strategiska beslut om övergripande verksamhetsförändring genom nya IT-stöd.
Kvaliteten på IT-organisationen varierar mellan olika företag och beror av diverse faktorer, som hur roller och ansvar är fördelade, om IT-processerna är definierade och efterföljs, i vilken utsträckning verksamheten är dokumenterad och hurvida IT-avdelningen mäter sin effektivitet med hjälp av nyckeltal. Summan av dessa faktorer benämner vi här som intern IT-styrningsmognad.
Det är ganska lätt att öka den interna IT-styrningsmognaden genom att öka graden av styrning och kontroll. Men frågan är om det verkligen finns någon poäng med att följa processbeskrivningar till punkt och pricka? Att noggrant dokumentera sin verksamhet eller att genomföra prestandamätningar in absurdum? Svaret är nja.
Det viktiga är snarare att se till att IT-avdelningen effektivt kan leverera tjänster som stödjer affärsverksamheten. Denna aspekt, det vill säga hur nöjd verksamheten är med leveransen, benämner vi extern IT-styrningsmognad.
Den externa IT-styrningsmognaden kan vara svår att påverka direkt för någon som befinner sig i IT-organisationen, till exempel en IT-chef eller en CIO.
Ett rimligt antagande är dock att organisationer med god intern IT-styrningsmognad också har god extern IT-styrningsmognad (enligt Figur 1). Denna hypotes har emellertid aldrig testats i praktiken. I denna studie har vi därför undersökt hur kopplingen mellan den interna och externa IT-mognaden ser genom att analysera 35 svenska verksamheter.
Figur 1. En hypotes är att den interna IT-styrningsmognaden påverkar den externa IT-styrningsmognaden.Störst är bäst, eller...?
Studien bygger på intervjuer med respondenter från de 35 verksamheterna. För att mäta den interna IT-styrningsmognaden används en förenklad variant av ramverken Cobit och Val IT. Och för att mäta den externa IT-styrningsmognaden används ett frågebatteri från Peter Weill och Jeanne Ross IT-styrningsmodell (se faktaruta).
För att mappa den interna processmognaden mot den externa i syfte att studera sambandet används verktyget ITOMAT – the IT Organization Modeling and Assessment Tool. (Se faktaruta).
Bland verksamheterna som studeras finns små och stora företag inom skilda branscher som bank/försäkring, bygg, bioteknik, energi, telekom och industri, ett antal kommuner samt några renodlade småföretag. (Tabell1)
En första slutsats är att den interna och externa IT-styrningsmognaden skiljer sig starkt mellan små och stora organisationer: stora organisationer har högre mognad än små, både internt och externt (Figur 2).
Det behöver dock inte betyda att IT styrs sämre i små organisationer. Det är naturligt att få beslutsfattare och informella beslutsvägar ställer lägre krav på detaljerade processer och dokumentation.
Intern och extern IT-styrningsmognad (Figur 2 och 3)
Organisationsstorlek - Figur 2
IT-styrningsmognad för organisationer med färre än 50 anställda samt stora organisationer. Mognaden mäts på en skala 0-5 där 5 är högst. Antalet genomförda fallstudier anges inom parentes. Organisationstyp - Figur 3
IT-styrningsmognad för organisationer med fler än 50 anställda, fördelade på organisationstyp. Mognaden mäts på en skala 0-5 där 5 är högst. Antalet genomförda fallstudier inom parentes.
Resultatet vittnar snarare om att befintliga IT-styrningsramverk är för stelbenta för att fånga dynamiken i små organisationer.
Figur 3 visar resultaten i medeltal för de branscher där flest fallstudier genomfördes – kommuner, industriföretag samt bank och försäkring. Här ser vi att kommunerna har lägst intern IT-styrningsmognad, bank- och försäkringsbolagen högst och att industriföretagen hamnar i mitten. Den troliga orsaken är att det inom finansbranschen finns en lång tradition av hårda krav inom intern kontroll och bolagsstyrning, samt höga informationssäkerhetskrav. Dessutom är IT oerhört verksamhetskritisk och närmast en del av kärnverksamheten.
Vad gäller den externa IT-styrningsmognaden ser det dock lite annorlunda ut. Uppenbarligen är verksamheten svårflirtad inom bank och försäkring och det ställs högre krav på god IT-styrning. Trots högst intern IT-styrningsmognad är bank- och försäkringsfolket mindre nöjda än sina kollegor i kommuner och industriföretag.
Deltagande orgnisationer - Tabell 1
Tabell 1. De deltagande organisationerna. *Fem ytterligare enkäter besvarades via e-post
Mognaden korrelerar
Syftet med forskningen var alltså att studera sambandet mellan intern och extern IT-styrningsmognad. Finns det någon korrelation och är det i så fall samma organisationer som har höga respektive låga mognadsgrader?
I Tabell 2 kommer vi således till det intressanta. Den visar – process för process – korrelationen mellan den interna IT-styrningsmognaden för 34 IT-processer enligt Cobit och den externa IT-styrningsmognaden, det vill säga hur processen ifråga upplevs av verksamheten.
Korrelationen mellan intern och extern IT-styrningsmognad - Tabell 2
Tabell 2. Korrelation mellan intern IT-styrningsmognad för 34 processer och den externa IT-styrningsmognaden. Resultat på 95 % konfidensnivå.
En första iakttagelse är att den interna IT-styrningsmognaden för nästan alla processer korrelerar med den externa mognaden.
Vad IT-organisationen gör spelar alltså roll – det lönar sig att ha koll på sina processer. Att ha någon form av dokumentation på plats, sätta tydliga roller och ansvar och arbeta kontinuerligt med uppföljning är viktigt! Och allra viktigast är processen för att definiera IT-organisationen, dess roller och ansvar. Om det inte finns någon styrning på plats är det helt enkelt svårt att leverera tjänster som verksamheten blir nöjd med. Två andra viktiga processer berör kvalitetsstyrning och hantering av kostnader.
I många omogna organisationer ses kvalitetsstyrning som en verksamhetsfråga utan beröringspunkter med IT. I diskussion med en expertgrupp fastställdes vikten av ett kvalitetsarbete som genomsyrar även IT-organisationen – något som resultaten från denna studie bekräftar. Vikten av att ha en mogen process för kostnadskontroll kan troligen förklaras med synen på IT som en ren kostnadspost i många organisationer. Låga kostnader, snarare än hög kvalitet, är ofta styrande för IT-verksamheten och nästan alla mätetal som används för uppföljning är monetära. Således ligger det nära till hands att de organisationer som är mogna med avseende på kostnadskontroll också anses som välfungerande hos verksamheten.
Mognaden hos några av processerna korrelerade svagt eller inte alls med den externa IT-styrningsmognaden. Hit hör problemhantering, hantering av servicenivåer samt kapacitets- och prestandahantering. En tolkning av detta resultat är att vissa processer kan ses som rena hygienfaktorer. Naturligtvis måste du som CIO se till att en effektiv problemhanteringsprocess finns på plats – det ses som självklart, men ger för den skull ingen guldstjärna i kanten. Det finns heller ingen anledning att excellera inom dessa områden, det är bättre att satsa sin kraft på något annat som är mer värdeskapande.
Sammanfattningsvis kan sägas att resultaten varierade kraftigt mellan olika organisationer. Genom att studera korrelationen erhölls en bättre förståelse för hur organisationerna var uppbyggda och resultaten kunde användas för att ge konkreta förbättringsförslag. Detta ger i sin tur möjlighet att förändra IT-styrningen baserat på kunskap om vilka processer som spelar mest roll för att verksamhetens krav ska kunna tillgodoses.
Vissa processer är rena hygienfaktorer, de ska finnas på plats men påverkar verksamhetens upplevelse av IT-styrningsmognaden endast i liten utsträckning.
Således – lägg ditt krut på att fatta rätt beslut om roller och ansvarsfördelning, kvalitetsstyrning och kostnadskontroll så blir chefen nöjd! ]
Freddie Larsson, CIO, Xdin:
Håll koll med våra
I IDG:s stora pdf-shop kan du köpa artiklar och hela tidningar i digitalt format.
Har funnits länge - (Jean Baptiste) 2008-09-30 15:13