ISACA, en ideell forening av 86 000 IT-eksperter, med egen norsk avdeling på rundt 350 medlemmer, lanserer «Risk IT», et rammeverk for å vurdere forretningsrisiko knyttet til bruk og fornyelse av bedrifters IT-systemer.
Rammeverket er tilgjengelig gjennom to bøker og en digital verktøykasse. I pdf er bøkene gratis tilgjengelig for ISACA-medlemmer. De kan også bestilles på papir.
Risk IT bygger på et annet rammeverk fra ISACA, «Cobit», for IT-styring og -kontroll, ofte kalt «IT governance». Hensikten er knytte risikostyring av IT til bedriftens helhetlige risikostyring, og hjelpe bedrifter til å øke inntjeningen på muligheter som byr seg ved å styre alle former for risiko mer effektivt. Ifølge ISACA er det typiske i dag at selv bedrifter som har en fortløpende vurdering av sin forretningsrisiko, inntar en annen og irrasjonell holdning til IT-risiko: Heller enn å prøve å styre den, prøver man å eliminere den helt.
ISACA mener IT-risiko ellers har en tendens til å bli oversett. Bedrifter som rutinemessig vurderer risiko knyttet til marked, kreditt og drift, overlater IT-risiko til teknologispesialister, og diskuterer det ikke på styrerommet, selv om de anerkjenner at IT har strategisk betydning.
ISACAs Cobit-rammeverk for IT-styring og -kontroll omfatter verktøy for å redusere risiko. Poenget med Risk IT er å ta neste skritt: Verktøy for å styre risikoen forbundet med IT-bruk, kanskje særlig IT-initiativ.
En av bidragsyterne til Risk IT, Urs Fischer, beskriver det som en metode for å klargjøre risiko tilknyttet til forsinkede prosjekter, krav stilt av offentlige og egne regelverk, mistilpassede prosjekter, utdatert IT-arkitektur og problemer ved levering av IT-tjenester.
– Risk IT forteller ledere hvordan de skal stille de riktige spørsmålene og ta risikobevisste avgjørelser, sier Fischer.
En annen bidragsyter til Risk IT, Brian Barnier, peker på at rammeverket hjelper med å avdekke varseltegn på et tidlig tidspunkt.
I en brosjyre fra ISACA, heter det at bedriftsledelsen har ansvaret for å fastslå hva IT må gjøre for å støtte forretningen. Det er følgelig ledelsen som formulerer målene for IT-avdelingen, og som har ansvaret for å styre den medfølgende risikoen.
ISACA mener Risk IT passer til alt fra énmannsforetak til globale konglomerater.
Rettelse
I en første versjon av denne artikkelen het det at ISACA betjenes i Norge av Den norske dataforening. Dette er i teksten ovenfor rettet til at ISACA har egen norsk avdeling. Dataforeningens rolle i forhold til ISACA Norge er å yte sekretærtjenester, skriver Gaute Lien fra ISACA og Accenture i en e-post til digi.no.
Les også:
- [14.12.2009] Accenture sier opp Tiger Woods
- [01.12.2009] Bør IT-budsjettet dobles eller halveres?
- [04.11.2009] Nytt hjelpemiddel viser når IT-utstyr må skrotes
- [28.09.2009] Pass på jussen i nettskyen
- [14.07.2009] Ledere underinformert om IT-risiko
