NY IT-INVESTERING? KONTROLLSPØRSMÅL STYRET BØR STILLE

Transkript

1 10 NY IT-INVESTERING? KONTROLLSPØRSMÅL STYRET BØR STILLE

2 00: MAGEFØLELSEN BLIR BEDRE MED MER FAKTA PÅ BORDET! En ny IT-investering har ofte som mål å transformere og forbedre måten vi jobber på. Vi vil jobbe mer effektivt, sikrere og mer miljøvennlig og ikke minst mer lønnsomt. Samtidig viser erfaringer at IT-prosjekter ofte blir mer kostbare enn planlagt og representerer betydelig risiko for den daglige driften av selskapet. Da er det viktig at vi ikke trår feil i jungelen av løsninger, full av løfter fra leverandørene. Denne e-boken har som mål å gi deg et verktøy for å evaluere risikoen ved fremtidige IT-investeringer, og hjelpe deg i vurderingen om den er verdt å satse på eller ikke. Boken er delt inn i 10 hovedspørsmål som tar for seg de ulike aspekter vi mener man må ta stilling til. Under hvert hovedspørsmål vil du finne korte sjekklister, og tips til organisasjonen som skal lage beslutningsgrunnlag. Vi håper boken bidrar til at du kan ta bedre og raskere beslutninger, og opplever prosessen mer oversiktlig og overkommelig. Hva skal til for å stole på magefølelsen? God lesing! ANNE STREBEL BRUKERADOPSJONSKONSULENT LEIV THOMAS SANDNES SJEFSRÅDGIVER 00

3 01: LØSER INVESTERINGEN RIKTIG PROBLEM? Spørsmål man kan stille for å avdekke om investeringen skal prioriteres og om problemet er godt nok definert: Er det riktig å investere penger i dette problemet? Hva er konsekvensen av problemet? Fører det for eksempel til ekstra kostnader eller tapte inntekter? Bruk tid på å finne rotårsaken til problemet - identifiser størrelse og omfang Før man velger løsning er det viktig at man har identifisert hva som egentlig er problemet med dagens løsning hvorfor skal vi kjøpe nytt? Dette krever at man har god oversikt over nåsituasjonen og bruker tid på å finne rotårsaken til problemet. Har man kontroll på dette er man bedre rustet til å ta en god avgjørelse, samt forhindre at det samme problemet dukker opp igjen. ROTÅRSAKSANALYSE ER ET TILLEGGSVERKTØY SOM STYRET KAN BE OM Å FÅ BESVART: 1. Beskriv problemet Hva er egentlig problemet? Hva ønsker vi å oppnå? Hva er målet? 2. Identifisere rotårsaker Spør «hvorfor» minst 5 ganger for å komme til roten av problemet («skrelle» problemet) Et problem kan ha flere rotårsaker 3. Identifisere løsningsforslag Utform tiltak for rotårsaken(e) 01

4 02: ER ALTERNATIVER VURDERT? Spørsmål som kan stilles for å avgjøre om alternativene er tilstrekkelig vurdert: Har vi vurdert alternativer opp mot dagens løsning? Kan problemet løses ved å oppgradere eksisterende løsning, eller skal man investere i noe nytt? Hvilket alternativ er mest lønnsomt over tid? Hvilke egenskaper er viktigst for oss? SCORING AV ALTERNATIV I en investeringsprosess vil det alltid være viktig å vurdere alternativer før man tar en beslutning. Alternativene man ser på bør vurderes opp mot dagens løsning som referansepunkt. For å ha et vurderingsgrunnlag kan det være lurt å vekte noen evalueringskriterier, alt etter hva som er viktig for deres virksomhet. Man bør forsøke å belyse alternativene fra flere sider for å få best mulig overblikk. Dette verktøyet kan benyttes av organisasjonen for å utarbeide beslutningsgrunnlaget for styret. Verktøyet hjelper til med å vurdere alternativene opp mot evalueringskriterier. Kriterier Vekt Nullalternativ Alternativ 1 Rating Score Rating Score Lett å integrere Brukervennlig Lisenskost Total score Rank 2 1 Verktøyet er inspirert av Concept-Scoring Matrix fra Product Design and Development av Ulrich og Eppinger. 02

5 03: HVILKEN USIKKERHET OG RISIKO ER KNYTTET TIL INVESTERINGEN? Hva er viktigst å få svar på? Hva kan gå galt, og hva er sannsynligheten for at det skjer? Hva blir konsekvensen? Hvilke risikoelementer har organisasjonen scoret høyest på? Alle større investeringer må gjennomføre analyser for å beregne konsekvensen av uønskede hendelser, og utforme risikoreduserende tiltak. I en slik prosess er det viktig å beregne risikoen for alle aspektene ved investeringen. Hva er for eksempel sannsynligheten for at investeringen blir dyrere enn antatt? Eller at løsningen ikke dekker behovet likevel? Eller at behovet endrer seg radikalt i antatt levetid av løsning. Og hvor stor er konsekvensen hvis organisasjonen ikke har kapasitet til å gjennomføre prosjektet? Det har også kommet inn noen nye faktorer vi må ta hensyn til. De seneste årene har antall cyberangrep økt - hva er verst tenkelige scenario for dere? Vi anbefaler at alle større investeringer har gjennomgått en risikovurdering, og at den er med i underlag til styrebehandling. Det finnes mange gode maler på risikoanalyser. RISIKO = SANNSYNLIGHET X KONSEKVENS Konsekvens Veldig alvorlig 5 Alvorlig 4 Moderat 3 Liten 2 Ubetydelig 1 Veldig lav Lav Moderat Sannsynlighet 03 4 Høy Veldig høy

6 04: ER INVESTERINGEN I TRÅD MED LOVER OG REGLER? Hvilke lover og regler må vi forholde oss til ved en ny IT-investering? GDPR: gjelder alle virksomheter som behandler personopplysninger Grønn IT: Bransjenorm og dugnad som skal sikre en mer miljøvennlig IKTnæring Regler for offentlige/private anskaffelser Andre generelle regler: Arkiv-, bokføring- og markedsføringsloven Hver bransje har sine lover og regler de må følge, men felles for alle som behandler personopplysninger er GDPR. I praksis innebærer dette at alle virksomheter skal ha full oversikt over sin behandling av personopplysninger og kunne dokumentere at de følger loven. For den registrerte (kunden/ ansatt/klient) innebærer dette at de til enhver tid skal kunne verne om, og ha innsikt i hvilke opplysninger virksomhetene har lagret om seg. Datatilsynet har stilt som krav at alle nye løsninger skal ha innebygget personvern. D P I A (Data Protection Impact Assessment) er en vurdering av personvernkonsekvenser. Den skal sikre at personvernet til de som er registrert i løsningen ivaretas. Her kan du se et eksempel: personkonsekvensvurdering.xlsx Det er mer kostnadseffektivt å være tidlig ute med å lage en oversikt over de kravene deres organisasjon stiller til dette området. På den måten er det lettere å velge vekk alternativer som ikke omfattes av kravene. G D P R (General Data Protection Regulation) er en personvernsforordning som ble vedtatt av EU i Forordningen skal sikre at personopplysninger blir behandlet likt av alle virksomheter i EU og EØS. Basert på dette har Norge laget en ny personopplysningslov som trådte i kraft 20. juli Denne personopplysningsloven er tilnærmet lik GDPR med noen nasjonale tilpasninger. 04

7 05: HVORDAN PÅVIRKER DENNE INVESTERINGEN VÅR IT-SIKKERHET? Sikkerhet handler om 3 elementer: Mennesker Bli ansvarliggjort Brukeradopsjon Vi må stille de kritiske spørsmålene om IT-sikkerheten er ivaretatt: Vil den nye løsningen øke eller senke risikobildet for selskapet? Hvordan skal man etterleve sikkerhet over tid (governance)? Hvis løsningen behandler kritisk informasjon: Er det gjort en risiko og sårbarhetsanalyse i henhold til nøkkelbegrepene konfidensialitet, integritet og tilgjengelighet? Hvordan er prinsippene for ITsikkerhet fulgt? Organisasjon Tilgangsstyring Internkontroll og rutiner IT-policy Teknologi Må være «up to date» Må være mulig å beskytte seg NASJONAL SIKKERHETSMYNDIGHETS GRUNNPRINSIPPER FOR IT-SIKKERHET 1. Identifisere og kartlegge 2. Beskytte 3. Opprettholde og oppdage 4. Håndtere og gjenopprette Det er nødvendig å utføre tiltak innenfor de tre elementene; menneske, organisasjon og teknologi. For mer informasjon om grunnprinsippene, anbefales NSM sin side: ycdqwyfc 05

8 06: ER VI MODNE FOR DEN NYE INVESTERINGEN? Er vi klare for å gjennomgå endringsløpet som trengs for å lykkes med investeringen? Har vi den kompetansen som kreves for å lede et prosjekt av denne typen, eller er dette også noe vi bør investere i? Hvilke fallgruver bør vi passe oss for? Er det kapasitet i organisasjonen, eller er det andre prosjekter som tar fokus? TIPS: Difi har utviklet et verktøy hvor du kan måle din organisasjons digitale modenhet: En investering av større omfang vil ofte påvirke organisasjonen og måten man jobber på. Før man gjennomfører en slik investering bør man derfor spørre seg om organisasjonen er moden for endringen dette vil føre med seg, både organisatorisk og teknisk. Vi må også spørre om vi har kapasitet til å prioritere løsningen det skal investeres i. Det kan derfor være lurt å forsøke å forutse hvilke områder og hvem som vil bli påvirket av endringen, og hvordan man best mulig kan ruste seg mot vanlige implementeringsfeil. Her gjelder det å ha selvinnsikt. Er vi klare for å ta tak i endringen et slikt prosjekt vil kreve av oss eller bør vi kjøpe tjenester eksternt? 06

9 07: ER INVESTERINGEN I TRÅD MED VISJON OG/ELLER STRATEGI? VIL LØSNINGEN BLI PRIORITERT I HELE SIN LEVETID? Bidrar prosjektet til å styrke visjonen/ misjonen som selskapet lever etter? Vil prosjektet klart kunne forankres i gjeldene strategier, eller vil det utfordre strategiene? Har vi tro på at organisasjonen vil investere tid og fokus i å oppnå varig forretningsverdi med løsningen? Styret bør informere og forberede organisasjonen på endringen som kommer. Dette ved å vise til hvordan investeringen og prosjektet er i tråd med gjeldende visjoner og strategier, samt hvordan investeringen skal styre opp under dette. Vi ser alt for mange ganger at fokus og kraft for å sikre suksess, avtar kraftig med en gang en løsning er lansert. Ofte er årsaken at prosjektet blir startet uten at det styrker den gjeldende strategien til selskapet. I det nye investeringer og løsninger i større grad er i tråd med selskapets mål, vil de bli prioritert fremfor andre initiativer og dermed få nødvendig fokus for å lykkes. Hovedspørsmålet blir dermed; hvis investeringen ikke styrker vår strategi, bør den da prioriteres? 07

10 08: TÅLER INVESTERINGEN FREMTIDEN? Investeringen skal forhåpentligvis kunne brukes en del år, og da er det viktig å vurdere om den er bærekraftig. Disse spørsmålene kan være nyttige å stille: Hvordan håndterer løsningen vekst og reduksjon i virksomheten? Hvor endringsdyktig er løsningen? Hva er tidsperspektivet for investeringen? Er det laget plan for avvikling av investeringen? Når man planlegger å investere bør man tenke langsiktig. Man må vurdere løsningen i forhold til skalerbarhet og fleksibilitet. Vil vi måtte bytte løsningen hvis vi blir flere ansatte? Ingen kan spå fremtiden, men alle kan holde seg oppdatert på hvilke trender som gjelder og hvilken vei utviklingen går. Det er lurt å tenke på at investeringen skal være lønnsom selv om markedet endrer seg. De fleste selskaper har en tendens til å supplere IT-porteføljen man har uten å sanere eldre løsninger. En god leveregel er at; «for hvert system som blir lagt til, må man skru av et gammelt.» 08

11 09: HVILKE GEVINSTER SKAL INVESTERINGEN GI? Økte inntekter Reduserte utgifter Strategiske mål Etterlevelse av lover og regler Gevinstrealisering handler om å ha en plan for å følge opp investeringen: Hva ønsker vi å oppnå med investeringen? Hvordan kan organisasjon bruke IT for å nå målene for fremtiden? Gir investeringen et konkurransefortrinn? Har vi en konkret gevinstplan utarbeidet? Det finnes kun 4 typer gevinstkategorier, hvis man skal være tro mot etablerte modeller? Økt Inntekter Reduserte utgifter Gevinstrealisering er ekstremt viktig i IT-prosjekter. Dessverre har IT-bransjen historisk sett vært dårlig til å følge opp gevinster som prosjekter er ment å gi. For å lykkes med gevinstrealisering må man ha tydelige og kvantifiserbare mål. Gevinstplanen må også forankres i riktig topp- og linjeledelse. Styret bør utfordre organisasjonen på hvordan man har tenkt til å følge opp gevinstrealisering og aller helst bør det fremlegges en gevinstplan. Det er mye erfaring og malverk i IT-bransjen på prosjektoppfølging, men det er mer sparsomt i gevinstarbeidet. Her er et eksempel fra Skill på gjennomføring av gevinstrealisering i IT-prosjekter: Strategiske mål Etterlevelse av lover og regler 09

12 10: ER DET EGENTLIG VERDT DET? Hva er business caset? Hvordan er kostnadsfordelingen mellom lisenser, hardware, konsulentbistand og interne timer? Hva er de økonomiske oppesidene? Hvor mye må vi investere for å oppnå en strategisk fordel? Binder vi midler over tid? Hva koster det å forvalte løsningen? Hva er byttekostnaden hvis vi må sanere? Til slutt må man få svar på det totale kostnadsbildet av investeringen og vekte det opp mot gevinstene. Er dette en investering som skal betale seg tilbake over tid, eller skal vi oppnå strategiske fordeler på sikt som vi er villig å investere i nå. Eller er det rett og slett noe vi må gjøre for å være i samsvar med regelverk? Uansett må man få økonomiske fakta på bordet. Mange organisasjoner har egne rutiner og maler for å behandle investeringssøknader i styremøter. Det varierer fra selskap til selskap om man benytter ROI eller andre økonomiske betraktninger som vurderingskriterier. Det viktigste er uansett å ha en metode som tar det totale økonomiske perspektivet i betraktning. 10

13 00: SPØRSMÅLENE OPPSUMMERT 01: LØSER INVESTERINGEN RIKTIG PROBLEM? 02: ER ALTERNATIVER VURDERT? 03: HVILKEN USIKKERHET OG RISIKO ER KNYTTET TIL INVESTERINGEN? 04: ER INVESTERINGEN I TRÅD MED LOVER OG REGLER? 05: HVORDAN PÅVIRKER DENNE INVESTERINGEN VÅR IT-SIKKERHET? 06: ER VI MODNE FOR DEN NYE INVESTERINGEN? 07: ER INVESTERINGEN I TRÅD MED VISJON OG/ELLER STRATEGI? 08: TÅLER INVESTERINGEN FREMTIDEN? 09: HVILKE GEVINSTER SKAL INVESTERINGEN GI? 10: ER DET EGENTLIG VERDT DET? 11