Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií
Audit outsourcingu ICT služeb v bankovním prostředí
Diplomová práce
Autor:
Rostislav Cendelín Informační technologie a management
Vedoucí práce:
Praha
doc. Ing. Vlasta Svatá, CSc.
Duben 2011
Prohlášení Prohlašuji, že jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Praze, dne 30. 4.2011 Rostislav Cendelín
Poděkování Na tomto místě bych rád poděkoval doc. Ing. Vlastě Svaté, CSc. za odborné vedení, kterými přispěla k vypracování této diplomové práce. Rád bych také poděkoval všem pracovníkům nejmenovaných finančních institucí za spolupráci a poskytnuté informace.
Anotace Outsourcing je dnes velmi frekventovaný způsob zajištění některých činností formou nákupu služeb. Se stále větší specializací v oblasti informačních a komunikačních technologií se jedná o jeden z nejúspěšnějších směrů poskytování ICT služeb. Bankovní sektor se naučil tuto možnost efektivně využívat a provozovat tímto modelem část svých informačních a komunikačních služeb, v extrémním případě tyto služby nakupuje formou komplexního outsourcingu. Díky regulaci, která v bankovním sektoru je daná legislativou, je využití outsourcingu v bankovním prostředí vázáno pravidly, které musí jak subjekty realizující, tak i využívající outsourcing dodržovat. Cílem této práce je popsat problematiku nastavení a provozu outsourcingového vztahu s ohledem na možnosti, které jsou aktuálně k dispozici při návrhu poskytovaných služeb. Včetně návaznosti na realizaci následného auditu poskytovaných služeb a auditního pohledu regulátora na finanční instituci využívající outsourcing. V druhé části této práce na názorné ukázce prezentovat modelový příklad auditu takto využívaných služeb v bankovním sektoru.
Annotation A frequent way of providing industries is nowadays outsourcing. With increasing specialization in the area of ICT, outsourcing is one of the most successful ways of providing ICT services. The banking sector has learnt to use this possibility effectively and to take advantage of this model to run a part of its ICT services. In some certain cases those services are bought in a form of complex outsourcing. Due to regulation, which is given in banking sector by law, the use of outsourcing is kept by rules, which must be held by subject providing and also by subject using this model. The aim of this document is to describe the questions of setting and operating outsourcing relationship and including possibilities which are available when designing provided services, including the implementation of subsequent audit of outsourced services and the view of regulator of financial institution using outsourcing. In the second part the Audit of outsourcing in banking environment is demonstrated.
Obsah 1
Úvod ................................................................................................................................... 7
2
Normy ................................................................................................................................. 9 2.1
2.1.1
Procesní model řízení ........................................................................................... 9
2.1.2
CobiT .................................................................................................................. 10
2.1.3
ITIL..................................................................................................................... 14
2.2
Risk IT ................................................................................................................ 19
2.2.2
Rodina norem ISO/IEC 27 000 .......................................................................... 20
Vnitřní kontrolní mechanismy ................................................................................... 21
Outsourcing v bankovnictví ............................................................................................. 23 3.1
4
Řízení rizik ................................................................................................................. 19
2.2.1
2.3 3
Standardy řízení IT ...................................................................................................... 9
Pravidla řízení outsourcingu ...................................................................................... 23
3.1.1
Důvody zavedení outsourcingu .......................................................................... 23
3.1.2
Smlouva o outsourcingu ..................................................................................... 26
3.1.3
Řízení outsourcingu ............................................................................................ 28
3.2
BASEL II ................................................................................................................... 29
3.3
Vyhláška č. 123/2007 Sb. .......................................................................................... 30
3.3.1
Outsourcing z pohledu vyhlášky č. 123/2007 Sb. .............................................. 33
3.3.2
Požadavky na řídící a kontrolní systém .............................................................. 34
Auditní techniky pro bankovní sektor .............................................................................. 35 4.1
Auditní standardy ....................................................................................................... 35
4.1.1
Auditní standardy dle ISACA............................................................................. 36
4.1.2
Auditní směrnice dle ISACA.............................................................................. 38
4.1.3
Auditní metodika ................................................................................................ 41 5
4.2
Licenční ujednání a autorská práva............................................................................ 43
4.2.1 4.3
5
Licencování outsourcingu produktů společnosti Microsoft ............................... 43
Bezpečnost řešení ...................................................................................................... 44
4.3.1
Bezpečnost interní .............................................................................................. 44
4.3.2
Bezpečnost externí .............................................................................................. 44
4.3.3
Bezpečností politika ........................................................................................... 45
Ověření v bankovním prostředí ........................................................................................ 47 5.1
Pravidla a postup nastavení outsourcingu .................................................................. 47
5.1.1
Strategie využívání outsourcingu ....................................................................... 48
5.1.2
Návrh smlouvy o outsourcingu........................................................................... 50
5.1.3
Stanovisko odboru řízení rizik............................................................................ 52
5.1.4
Stanovisko odboru vnitřního auditu ................................................................... 54
5.1.5
Stanovisko odboru compliance a informační technologie .................................. 54
5.1.6
Návaznost na CobiT ........................................................................................... 55
5.2
Realizace auditu ......................................................................................................... 56
5.2.1
Referenční audit .................................................................................................. 59
5.2.2
Certifikace poskytovatele ISO/IEC 20000-1:2006 ............................................. 65
6
Závěr ................................................................................................................................. 66
7
Seznam použité literatury ................................................................................................. 70 7.1
Seznam použité literatury .......................................................................................... 70
7.2
Zákonné předpisy a vyhlášky..................................................................................... 70
7.3
Internetové zdroje ...................................................................................................... 70
6
1 Úvod Problematika auditu v bankovním prostředí je stále komplikovanější s rozvojem bankovního sektoru. A se stále větším přesunem k automatizaci veškerých prostředků nabývá audit na citlivosti. Poslední dobou se v České republice opět dynamicky rozvíjí sektor družstevních záložen. Záložny po sérii dynamických a hektických let, kdy regulaci realizoval Úřad pro dohled na družstevními záložnami, kdy tyto leta vyvrcholily začleněním tohoto sektoru pod regulaci České národní banky v obdobném rozsahu, jako platí pro běžné bankovní prostředí, v posledních letech rostou. Proto se dá předpokládat transformace řady větších družstevních záložen na klasické banky. Díky tomu, že tyto instituce jsou svým rozsahem menší a hojně využívají outsourcingu, je využití řídících a auditních postupů na vzestupu i v menším prostředí než bylo doposud zvykem. Do obdobného vztahu k řízení a auditu, jako je bankovní sektor a sektor družstevních záložen, se nyní dostávají i další regulované subjekty, jako jsou například obchodníci s cennými papíry a nově připravené platební instituce a instituce elektronických peněz. Cílem práce je popsat aktuální situaci realizace auditu v oblasti informačních a komunikačních technologií se zaměřením na audit outsourcingu. Do pojmu informační a komunikační technologie jsou v této práci vnímány veškeré informační technologie, včetně informačních systémů, a technologie určené pro komunikaci, pokud není uvedeno jinak. Pro pochopení auditovaných oblastí je nutné vnímat kontext několika rovin, které do auditu vstupují. Jedná se především o samotnou problematiku řízení informačních a komunikačních technologií. Této rovině se věnuje první kapitola, která mapuje normy, jež je možné využít jak pro řízení, tak i pro samotné auditní techniky. Druhá kapitola se věnuje rovině outsourcingu. Tato problematika je zejména pro menší poskytovatele služeb v oblasti informačních a komunikačních technologií v dnešní době životně důležitá. Vzhledem k neustálému tlaku na rozvoj informačních a komunikačních technologií a současně omezenými finančními možnostmi menších společností, je částečný, ale i komplexní outsourcing jednou z efektivních možností, jak zajistit neustálý rozvoj oblasti informačních a komunikačních technologií. Tato kapitola se dále věnuje problematice regulatorních požadavků na outsourcing v bankovním prostředí, které jsou upraveny poměrně striktně Vyhláškou č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry a je nezbytné při využití outsourcingu v tomto sektoru plnit požadavky dle uvedené vyhlášky. 7
Cílem třetí části je přehled auditních technik a jejich využití v bankovním prostředí. Kapitola se zaměřuje na aktuální možnosti auditorské podpory ve standardech a dalších podpůrných oblastech. Jako základ je použita metodika vydávaná společností ISACA, která primárně sdružuje auditory a další odborníky v oblasti informačních a komunikačních technologií. Rovina auditu jednoznačně využívá metodiky popsané v první kapitole a díky zaměření na outsourcing navazuje na informace z druhé kapitoly. Kapitola čtvrtá ukazuje na modelovém příkladu realizaci auditu outsourcingu informačních a komunikačních
služeb
v bankovním
prostředí.
Cílem
je
identifikovat
především
problematická místa a to jak z pohledu odběratele služeb, které jsou předmětem outsourcingu, tak i z pohledu poskytovatele outsourcingu. Cílem celé práce je identifikace a popis klíčových oblastí, které do celé problematiky vstupují, jejich vzájemná provázanost v komplexním prostředí a návaznost na vytěsnění zajištění některých služeb formou nezávislé dodávky. Výstup práce je cílen jak pro poskytovatele, tak i odběratele v oblasti outsourcingu informačních a komunikačních technologií pro bankovní sektor.
8
2 Normy Kapitola popisuje pohled na normy, které mají dopad do problematiky řízení informačních a komunikačních technologií s návazností na outsourcing a audit (včetně ukotvení těchto norem do legislativy České republiky). Cílem je především objasnit kontext těchto norem z pohledu bankovního sektoru a postupů, které jsou používány při vlastní auditní činnosti.
2.1 Standardy řízení IT Požadavky
na
standardizaci
činností
spojených
s informačními
a
komunikačními
technologiemi neustále rostou, hlavní motivací je především snadnost dohledu a řízení dodávaných služeb. V historii bylo klíčovým prvkem, který ovlivňoval řízení těchto služeb, především komplexnost poskytovaných služeb a finanční náročnost. Tento pohled se postupem času mění tak, aby poskytované informační a komunikační služby byly více obchodně uchopitelné a jejich činnost lépe řiditelná. Normy, které slouží pro strategické, taktické a operativní řízení informačních technologií, jsou primárně CobiT a rámec ITIL. Oba materiály vychází z evropského vnímání řízení informačních technologií. Poslední dobou se v této oblasti díky globalizaci objevují i další normy, jako je například NIST, BSI a v neposlední řadě aktivita Evropské unie sjednotit pohled na bezpečnost informací Enisa. Pro potřeby této práce se budeme věnovat především rámci ITIL a metodice CobiT. Oba tyto materiály na různé úrovni řízení služeb ICT jsou pro potřeby řízení outsourcingu klíčové.
2.1.1 Procesní model řízení Klíčem k jednodušším a jasnějším ICT službám je především možnost tyto služby snadněji řídit (tak jako všechny ostatní služby). Požadavky na lepší řízení sebou nesou požadavky na efektivnější měření dodávaných služeb. Tato pravidla platí, ať se jedná o služby dodávané formou outsourcingu nebo interně v rámci společnosti. Klíčem k efektivnějšímu řízení dodávaných služeb je tzv. procesní řízení. Procesní řízení je soubor činností týkajících se plánování a sledování výkonnosti především firemních procesů. Pro pochopení procesního řízení v kontextu dalších (již více technicky konkrétních norem) je nutné poznat procesní model řízení. Na něj jsou typicky navázány všechny další normy a má přímou vazbu i na provoz a řízení outsourcingu. 9
2.1.1.1 Historie procesního řízení To, že v každé organizaci procesy existují, je známe poměrně dlouho. Nicméně dlouhou dobu se procesům nepřikládal příliš velký praktický význam.
Současně s rozvojem průmyslu
začaly snahy o unifikaci výroby, při které se začaly řešit první pokusy o efektivnější a méně nákladnější způsob výroby. V tuto dobu se implementoval hierarchický model řízení, kdy došlo k implementaci funkčně – liniového řízení. Tím byly opět procesy potlačeny do pozadí. Nicméně postupně v této době začínají vznikat první iniciativy vedoucí k procesnímu řízení především obchodních procesů. Tyto iniciativy jsou datovány do dvacátých let dvacátého století. V průběhu dalších let se procesy a jejich řízení několikrát objevily a následně zapadly v zapomnění. Pro potřeby této práce je důležitá tzv. „třetí vlna“, která s nástupem informační techniky přinesla především možnosti automaticky sbírat podklady pro řízení a modelování procesů. Přímá podpora informačních technologií pro řízení procesů je klíčová pro další rozvoj – tedy umožňuje, aby procesy zlepšovali sami sebe. Tedy, aby výstup z řízení a monitorování sloužil jako vstup pro procesní reingeneering.
2.1.2 CobiT Metodika CobiT (Control Objectives for Information and related Technology) je považována za soubor nejlepších praktik pro řízení informačních technologií (IT Governance). Základní motivací této metodiky je především přímá vazba na dosahování strategických cílů organizace. Zaměření CobiTu je na strategickou a taktickou oblast řízení informačních a komunikačních technologií. CobiT není metodika, která by vznikala „od nuly“, ale je připravována jako kompilát aktuálních metodik, které jsou v oblasti IT využívány. Pro tvorbu metodiky CobiT a dalších podpůrných dokumentů je použito více jak 40 jiných metodik. Jednou z hlavních je i ITIL, který je podrobně popsán v kapitole 2.1.3. Mezi další důležité metodiky, ze kterých CobiT vychází je například: COSO, ISO/IEC 17799:2005, PRINCE2, PMBOK, CMMI, TOGAF, NIST 800-14 a další. Pro všechny tyto metodiky jsou připraveny „mapy“, které definují, jak jsou jednotlivé metodiky provázány s CobiT. Tyto mapy jsou pravidelně aktualizovány s vývojem jak mapovaným metodik, tak i metodiky CobiT. Jednou z klíčových vlastností metodiky CobiT je přehlednost. Celá metodika je zpracována tak, aby každý zpracovávaný proces byl popsán ve stejné struktuře: 10
Popis procesu;
Definování klíčových cílů procesů;
Seznam vstupů a výstupů do procesu, včetně návaznosti odkud jsou tyto vstupy očekávány a kde jsou výstupy využívány;
RACI matice;
Cíle a metriky procesu;
Definice modelu vyspělosti.
V našem případě je metodika CobiT významná především díky jednoznačné orientaci na obchodní přínosy a možnosti definovat vazbu mezi požadavky obchodu a definování cílů ICT. Druhým, a neméně důležitým, použitím metodiky CobiT je použití jako základního podkladu pro vlastní auditní činnost. CobiT v tomto kontextu slouží jako optimální zdroj na to, co je třeba auditovat a jaké jsou očekávané vlastnosti u jednotlivých procesů.
2.1.2.1 Historie metodiky CobiT Metodiku CobiT připravuje organizace ISACA (Information Systems Audit and Control Association), což je mezinárodní asociace sdružující odborníky v oblasti IT Governance. Z původního záměru sdružovat pouze odborníky z oblasti auditu, se kterým byla tato asociace v roce 1967 založena, se podařilo rozšířit asociaci na podstatně větší skupinu. Ta dnes sdružuje podstatně větší skupinu pracovníků v ICT oblasti. Jedná se především o auditory, konzultanty, pedagogy, pracovníky v oblasti bezpečnosti, pracovníky regulačních orgánů, apod. Rozšíření organizace ISACA je nyní do více jak 160 zemí a sdružuje více jak 95 000 členů. Jedná se o nejvýznamnější odbornou organizaci v ICT oblasti. První metodika CobiT byla vydána v roce 1996, další vývoj této metodiky je poměrně pravidelný. V roce 1998 vydána druhá verze, kdy do metodiky byla přidána významná oblast „Management Guidelines“. Jedná se o detailně zpracované návody pro řízení a audit nejrůznějších ICT oblastí, tyto návody jsou pravidelně aktualizovány. V roce 2000 vychází třetí edice této metodiky s aktualizací v roce 2003, která rozšiřuje možnosti této metodiky o online verzi. Čtvrtá edice je uvedena v roce 2005. Aktualizace na verzi 4.1 byla uvedena v roce 2007 a tato verze je platná doposud. Všechny uvedené aktualizace metodiky CobiT reagují především na postupný rozvoj celé ICT oblasti a ostatních metodik, ze kterých se snaží čerpat. Aktualizace tedy neobsahují zásadní změny v metodice, ale jedná se spíše o kontinuální rozvoj. 11
K aktuální verzi metodiky, tedy verzi 4.1, postupně byly dodány další samostatné bloky, mezi nejdůležitější patří Val IT a Risk IT. Val IT obsahuje především části vedoucí k optimalizaci investic, které plynou do IT. Risk IT se zaměřuje na řízení rizik spojených s IT oblastí. Na druhou polovinu roku 2011 je připraveno vydání nové verze metodiky, konkrétně 5.0. Tato verze doplňuje aktuální verzi metodiky CobiT především o již zmíněné části Val IT a Risk IT a měla by dávat komplexnější pohled na IT i z pohledu požadavků strategie společnosti.
2.1.2.2 Balanced Scorecard Celá metodika CobiT je plně v souladu se metodou managementu Balanced Scorecard (BSC), resp. všechny procesy této metodiky využívají tuto metodu pro tvorbu vazby mezi strategií a operativou. Základní čtyři perspektivy metody BSC jsou:
finanční perspektiva;
zákaznická perspektiva;
perspektiva interních procesů;
perspektiva učení se a růstu (inovace).
Metodika CobiT interně využívá „IT Balanced Scorecard“, které občas bývá rozděleno ještě na vývojovou a operativní BSC. Tuto metodu zde zmiňuji především s ohledem na jednoznačné provázání strategických firemních cílů do cílů IT. To je klíčové k rozhodování o implementaci outsourcingu a případně rozhodování jaké části mají být realizovány pomocí outsourcingu. Jak bude dále popsáno podrobněji, toto je klíčové při tvorbě strategie pro využívání outsourcingu a její naplňování.
2.1.2.3 Metodika CobiT Samotná metodika CobiT je rozdělena do 4 základních domén:
Plánování a organizace
Akvizice a implementace
Dodávka a podpora
Monitorování a hodnocení 12
Všechny uvedené domény jsou v metodice rozděleny do 34 samostatných procesů. Pro naše potřeby jsou důležité zejména procesy z domény „Plánování a organizace“ a domény „Monitorování a hodnocení“, nicméně i část procesů v ostatních doménách se týká problematiky outsourcingu.
2.1.2.4 RACI matice Jedná se o jednoduchou matici odpovědností u každého procesu. Pro každý proces je definováno několik úrovní odpovědností:
R (Responsible) – osoby, které činnosti fyzicky vykonávají.
A (Accountable) – nesou odpovědnost za splnění.
C (Consulted) – jen nutné s nimi postup konzultovat.
I (Informed) – mají být včas informováni.
U těchto odpovědností jsou vždy uvedeny jednotlivé aktivity a funkce v kombinaci jaký mají konkrétní typ odpovědnosti. V případě metodiky CobiT je použit poměrně maximalistický model, který je třeba upravit na konkrétní typ a velikost společnosti.
2.1.2.5 Model zralosti CMMI Model zralosti CMMI (Capability Maturity Model Integration) je model kvality organizace vyvinutý při Carnegie Mellon University, konkrétně Software Engineering Institute (SEICMU). Model má pět úrovní zralosti: 0) Neexistující 1– procesy nejsou aplikovány. 1) Inicializovaný – na této úrovni definované procesy jsou vykonávány ad-hoc a nejsou organizovány. 2) Opakovatelné, ale intuitivní – procesy mají opakovatelný charakter, ale neexistuje u těchto procesů jasná definice. 3) Definovány – realizované procesy jsou definovány a dokumentovány. Procesy je možné dále dobře sdělovat. 4) Řízený a měřitelný – procesy jsou sledovány a měřeny. 5) Optimalizující – procesy jsou soustavně optimalizovány.
1
Úroveň 0 bývá občas spojena s úrovní 1.
13
Pro běžné společnosti je u většiny procesů dostačující, pokud je splněna úroveň 3 (to je ve většině odvětví průměrný stav plnění modelu zralosti), je však žádoucí plnit co nejvyšší úroveň zralosti, nicméně v některých případech nemusí být výsledný efekt při plnění úrovně 4 a 5 ekonomicky obhajitelný. Pro splnění požadované úrovně zralosti musí být splněny i všechny předchozí úrovně. Postupně byly modely zralosti připraveny i pro další odvětví, nejen problematiku informačních technologií. Tyto modely zralosti jsou integrovány jako jedna z klíčových vlastností metodiky CobiT a všechny procesy, které jsou v metodice CobiT obsaženy mají jasně definovány jednotlivé úrovně zralosti.
2.1.3 ITIL ITIL (IT Infrastructure Library – knihovna infrastruktury IT) je veřejně dostupný rámec, který je koncipován jako konsistentní a soudržný model vycházející z nejlepší praxe v dané oblasti. Vytvořen byl na základě požadavků vlády Spojeného království, kdy s ohledem na rozvíjející se obor informačních technologií bylo ze strany vlády požadováno zavést jednoznačná pravidla pro řízení informačních technologií. Samotný ITIL se zaměřuje především na taktickou a operativní úroveň řízení procesů. Celý rámec je založen na procesním pohledu na řízení jednotlivých oblastí informačních technologií, kdy jako základ tohoto řízení si bere model PDCA. PDCA model (tzv. Demingův diagram), je základní nástroj pro soustavné zlepšování procesů, je využit jako základ většiny metodik a ISO směrnic, které mají souvislost s kvalitou. Základní stavy modelu PDCA:
P (Plan) – prověřit současný stav a posoudit případné problémy procesu. Navrhnout možné řešení.
D (Do) – realizace navrženého řešení.
C (Check) – ověřit výsledky realizace a posoudit, zda bylo dosaženo plánovaných výsledků.
A (Act) – na základě navrženého řešení a ověřené realizace zapracovat konečné řešení tak, aby se stalo trvale použitelným.
14
Tato kapitola nemá sloužit jako komplexní popis rámce ITIL, má sloužit pouze jako přehled celé problematiky a návaznost tohoto rámce na problematiku outsourcingu, se kterou velice úzce souvisí. Pro podrobnější informace o rámci ITIL doporučuji některou z komplexních publikací
o
tomto
rámci,
například
zde:
http://www.itsmf.cz/cz/zdroje/informacni-
zdroje/odborna-knihovna-itsmf-cz.
2.1.3.1 Historie ITILu ITIL byl poprvé publikován v letech 1989 – 1995 u Her Majesty’s Stationery Office (HMSO) se jménem Central Communications and Telecomunications Agency (CCTA). Tato organizace byla později přejmenována na Office of Government Commerce (OGC). Původní verze knihovny ITIL měla 31 knih. Na přelomu století OGC přepracovává vydanou knihovnu a vzniká verze druhá. Ta je primárně založena na dvou knihách „Service Support“ a „Service Delivery“. S postupem času se ukazuje, že tato verze neřeší všechny části informačních technologií, které řeší praxe. Postupně jsou doplňovány další knihy zabývající se bezpečnostní, návazností na požadavky obchodu, apod. Druhá verze se stala zlomovým momentem, jelikož tato verze začala být univerzálně přijímána všemi typy organizací a začala sloužit jako základna pro efektivní poskytování IT služeb.
2.1.3.2 ITIL verze 3 Aktuální publikovaná třetí verze, ta je rozdělena do pěti základních částí (Service Strategy, Sevice Design, Service Transition, Service Operation a Continual Service Improvement). Je však nutné poznamenat, že rozdíl mezi verzemi je spíše evoluční než revoluční. Třetí verze dává spíše ucelený a podrobnější pohled na procesy popsané v druhé verzi, které doplňuje o další oblasti, které byly k druhé verzi postupně přidávány dle jednotlivých potřeb. Nové procesy, které jsou v třetí verzi popsané, vznikly především dekompozicí procesů, které byly již obsaženy ve verzi druhé. Základní přehled pěti částí ITIL verze 3:
Service Strategy (Strategie služeb) – jedná se o ústřední publikaci, která poskytuje pohled na návrh, vývoj a implementaci služeb. A to jak z pohledu organizačního, ale i
15
z pohledu strategického. Publikace je klíčovou pro plánování, přípravu strategií a dalších částí v oblasti IT Governance. Popisuje tyto procesy: o Financial Management (správa financí) o Service Portfolio Management (správa portfolia služeb) o Demand Management (správa požadavků)
Service Design (Návrh služeb) – cílem publikace je návrh a vývoj služeb a řízení jejich procesů. Popisuje především principy pro převod strategických cílů do portfolia poskytovaných služeb s důrazem na tvorbu přidané hodnoty pro zákazníka. Pro úplný pohled na zpracovávané téma je tato publikace důležitá, vzhledem k tomu, že řeší problematiku compliance – souladu s právními normami a standardy. Popisuje procesy: o Service Catalogue Management (správa katalogu služeb) o Service Level Management (správa úrovně služeb) o Capacity Management (správa kapacit) o Availability Management (správa dostupnosti) o IT Service Continuity Management (správa kontinuity služeb IT) o Information Security Management (správa bezpečnosti informací) o Supplier Management (správa dodavatelů)
Service Transition (Přechod služeb) – cílem této publikace je zajistit realizaci požadavků definovaných na základě publikace Service Strategy, případně vzniklých jako reakcí na potřeby reálného prostředí, například na základě řízení rizik nebo funkčnosti služeb. Kniha popisuje tyto procesy: o Change Management (správa změn) o Service Asset and Configuration Management (správa aktiv a konfigurace) o Knowledge Management (správa znalostí) o Transition Planning and Support (Plánování a podpora přechodu) o Release and Deployment Management (správa vydání a nasazení) o Service Validation and Testing (ověření a testování služby) o Evaluation (Vyhodnocení)
Service Operation (Provoz služeb) – publikace obsahuje postupy pro řízení dodávaných služeb dle požadovaných vlastností (kvality). Tato část přebírá ve větší míře původní knihy z ITIL verze 2, tedy Service Strategy a Service Delivery. Kniha popisuje tyto procesy: o Event Management (správa událostí) 16
o Incident Management (správa incidentů) o Problem Management (správa problémů) o Access Management (správa přístupů) o Request Fullfilment (provádění požadavků) o IT Operation Management (správa provozu IT) o Application Management (správa aplikací) o Technical Management (technická správa)
Continual Service Improvement (Neustálé zlepšování služeb) – cílem této knihy je popsat procesy vedoucí k vytvoření a udržování přidané hodnoty provozovaných služeb. Obsahuje tyto procesy: o Service Measurement (měření služeb) o Service Reporting (vykazování služeb)
Celkový pohled na provázanost jednotlivých knih a procesů je znázorněn v následujícím obrázku:
2
OBRÁZEK 1 PROVÁZANOST JEDNOTLIVÝCH KNIH A PROCESŮ ITIL VERZE 3
2
An Introductory Overview of ITIL® V3, ISBN 0-9551245-8-1
17
2.1.3.3 Návaznost rámce ITIL na outsourcing Celý rámec ITIL zde zmiňuji především proto, že bývá klíčovým rámcem pro řízení dodávky IT služeb v taktické a operativní úrovni na straně poskytovatelů těchto služeb. Pro řízení, hodnocení a monitorování poskytovaných služeb je vhodné problematiku ITIL využít právě z důvodu jednoznačného rozhraní mezi poskytovatelem a odběratelem služeb a to i v případě, že se poskytovatel a odběratel je jedna společnost a toto rozhraní je postaveno pouze na interní podobě mezi odděleními. Celý ITIL, tak jak je koncipován, je postaven na taktickém a operativním řízení poskytovaných procesů a definuje nástroje, které právě k tomuto účelu mají sloužit. Pro naše potřeby je tedy optimální, pokud poskytovatel služeb zajišťuje požadované procesy přesně dle rámce ITIL, samozřejmě s jasnými a dohodnutými pravidly, které jsou zakotvené do outsourcingové smlouvy.
2.1.3.4 ISO 20000 Vzhledem ke snaze standardizovat procesy zajišťující provoz informačních technologií, byl klíčový základ metodického rámce ITIL vydán jako norma ISO/IEC 20000. Konkrétně se jedná o následné normy:
ISO/IEC 20000-1:2006 část 1: Specifikace
ISO/IEC 20000-2:2006 část 2: Soubor postupů
ISO/IEC 20000-3:2007 část 3: Stanovení rozsahu a aplikovatelnost
ISO/IEC 20000-4:2007 část 4: Referenční model procesu Správa služeb
Tyto normy poskytují mezinárodně uznávané standardy, které mohou využít organizace pro posouzení a certifikaci poskytovaných služeb. Tato certifikace je možná od roku 2005, kdy certifikační schéma bylo navrženo a je řízeno itSMF UK (The IT Service Management Forum). Pro potřeby auditu je optimální, pokud poskytované služby odpovídají standardu ISO/IEC 20000-1:2006. Takto nastavený vztah má jednoznačná pravidla a auditor má významný prostředek pro porovnání kvality dodávaných služeb.
18
2.2 Řízení rizik Riziko je nedílnou součástí všech procesů a i při outsourcingu je nutné s rizikem pracovat (nelze jej odstranit). Pro naše potřeby je klíčová analýza rizik především díky nutnosti stanovit postupy pro řízení rizik a kontrolní mechanismy. A následně je nutné pravidelně posuzovat, zda poskytovatel outsourcingu pravidelně prověřuje funkčnost a dostatečnost svých mechanismů vnitřní kontroly a řízení rizik. Analýza řízení je součástí plánování auditu a umožňuje identifikovat rizika a zranitelnosti, které by měli být dále využity auditorem pro stanovení odpovídajících kontrolních mechanismů. U realizace auditu je však mít stále na paměti, že samotné riziko je zakomponované přímo i do oblasti realizace samotného auditu. Existuje celá řada definic rizika, jelikož se jedná o značně obecný pojem, který je využíván různými obory. Obecně je možné říci, že riziko je jakákoliv událost, která může negativně ovlivnit splnění podnikatelských cílů. Zřejmě nejpřesnější definice rizika vychází z norem ISO/IEC 27001: Možnost, že daná hrozba využije zranitelnosti aktiva nebo skupiny aktiv a způsobí ztrátu nebo zničení aktiv. Dopad nebo závažnost rizika je proporcionální vzhledem k hodnotě ztráty, škodě a vzhledem k odhadované frekvenci této hrozby. Jedná se o běžné používanou definici, jelikož poměrně snadno zapadá do strategických pohledů použitých při řízení organizací. Z toho je zřejmé, že riziko má následující prvky:
Hrozby a zranitelnosti procesů a aktiv.
Dopady na aktiva, které jsou založené na hrozbách a zranitelnostech.
Pravděpodobnost výskytu hrozeb.
2.2.1 Risk IT Postupné rozšiřování metodiky CobiT vedlo k identifikaci poměrně rozsáhlé části z oblasti řízení rizik, která není podchycena v původní metodice CobiT, nicméně je významná. Tato oblast byla v rámci ISACA zpracovaná do samostatného dokumentu nazvaného Risk IT, kdy
19
dokument reaguje na komplexní problematiku řízení podnikatelských rizik s dopadem na informační a komunikační technologie. Základní principy rámce Risk IT jsou:
sladit rizika s obchodními cíli;
vyvážení nákladů a přínosů mechanismu řízení rizik;
podpora otevřené komunikace v oblasti řízení IT rizik;
vytvořit korektní pohled řízení organizace při definování a prosazování odpovědnosti v oblasti řízení rizik;
začlenit řízení rizik do každodenních aktivit.
Metodika Risk IT je rozdělena do tří základních domén, které jsou postaveny obdobně jako domény v metodice CobiT. Jedná se konkrétně o domény: řízení rizik, hodnocení rizika a reakce na rizika. Jednotlivé domény jsou opět založeny na procesech, každý proces má jednoznačný popis v obdobném rozsahu jako procesy metodiky CobiT a to včetně modelu zralosti.
2.2.2 Rodina norem ISO/IEC 27 000 Normy rámce ISO/IEC 27 000 se věnují systému managementu bezpečnosti informací, jedná se o dokumentovaný systém řízení, který vznikl původně z britského standardu BS 7799 a postupně je rozšiřován o další celou řadu dalších praktik v oblasti bezpečnosti. Tyto normy jsou postupně implementovány do českého prostředí. Pro naše účely jsou klíčové normy ISO/IEC 27 001, která definuje požadavky na ISMS (Information security management systems – systém managementu bezpečnosti informací). Dále ISO/IEC 27 002, obsahující soubor postupů pro řízení bezpečnosti informací. A v neposlední řadě ISO/IEC 27 005 zajišťující z pohledu této normy řízení rizik. Všechny tyto normy byly již uvedeny Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví formou České státní normy do české legislativy. Využití těchto norem z pohledu garance přiměřené bezpečnosti informací, a to jak pro případného poskytovatele, tak i odběratele, je dostatečné.
20
2.3 Vnitřní kontrolní mechanismy Pojem „vnitřní kontrolní mechanismy“ je možné vnímat z několika různých pohledů. Jiné kontrolní mechanismy má banka, jiné kontrolní mechanismy má informační systém. Pro účely této práce je primární pohled na procesní vnitřní kontrolní mechanismy banky, a pokud nebude uvedeno jinak, jsou tyto mechanismy vnímány v tomto kontextu. Nicméně z pohledu realizace auditu informačního systému, jsou vnitřní kontrolní mechanismy informačního systému zásadní oblastí a je třeba na ně takto nahlížet. Za vnitřní kontrolní mechanismy jsou považovány politiky, procedury, postupy a organizační systémy, které jsou zavedeny s cílem minimalizace rizika (většinou operačního). Vnitřní kontrolní mechanismy jsou navrhovány tak, aby poskytovaly přiměřené ujištění o tom, že cíle společnosti jsou naplňovány, a že je cílem zamezení vzniku nežádoucích rizikových
událostí.
V případě
porušení
kontrolního
mechanismu
nebo
nalezení
nepodchycené oblasti jsou generovány tzv. nápravná opatření. Nápravná opatření nemají za efekt odstranění důsledků porušení kontrolního mechanismu, ale především je cílem odstranit možnost vzniku porušení kontrolního mechanismu. Procesy vedoucí k naplnění požadavků kontrolních mechanismů mohou být automatické nebo manuální, podle typu a charakteru kontrolované oblasti. V každém případě je však nutné, aby na identifikaci a monitorování se podílel každý jednotlivec v organizaci. Prvky kontrolních mechanismů, které musí být brány v úvahu při hodnocení kontrolních mechanismu, jsou rozděleny dle povahy na preventivní, detektivní a nápravné. Třída Preventivní
Příklady
Funkce
Odhalování problémů před
Zaměstnávat důvěryhodné a kvalifikovaní osoby
jejich vznikem
Monitorování provozů
Oddělení pravomocí
Monitorování vstupů
Řízení přístupu do fyzických prostor
Řídit dokumentaci s ohledem na eliminaci zanesení chyby
Provádět kontrolu čtyř očí na klíčových místech
21
Používat řízení přístupu pro citlivá data
Detekční
Identifikovat podezření na
Tvorba dokumentace
Provoz
mechanismu
vznikající problémy
zaznamenání
Využívat
logování všech systémů
kontrolní
mechanismy
pro
auditního
Provoz SIEM nástroje pro
identifikaci a zaznamenání
konsolidovanou
chyby
bezpečnostních incidentů
pro
identifikaci
Využití šifrování, případně kontrolních
součtů
při
předávání dat Nápravné
Minimalizace
dopadů
hrozeb
Zajištění plánů kontinuity a obnovy
Náprava identifikovaných incidentů a problémů
TABULKA 1K LASIFIKACE KONTROLNÍCH MECHANISMŮ
22
Zálohování a archivace
3 Outsourcing v bankovnictví Nejprve se podívejme na samotnou podstatu outsourcingu, co se pod tímto pojmem skrývá. Outsourcing se rozumí vyvedení činnosti na třetí stranu. Ve většině případů jsou mimo společnost vyváděny činnosti podpůrné, nikoliv hlavní. Pro naše účely uvažujeme vyvedení mimo společnost procesy spojené s informačními a komunikačními technologiemi a informačními systémy. Je třeba však podotknout, že je možné v oblasti outsourcingu využít jakékoliv další činnosti, pouze je třeba uzpůsobit řízení využívaných služeb konkrétní službě. V oblasti IT je jako klíčový okamžik pro využití outsourcingu vnímáno využití outsourcingu ve společnosti Kodak, která v roce 1989 převedla na outsourcing velkou část informačních technologií, včetně informačních systémů, do externích organizací. Tento krok byl realizován s ohledem na větší zaměření na strategické priority. Vzhledem ke skutečnosti, že oblast informačních technologií je v bankovnictví jednou z klíčových, nicméně ve většině případů se stále jedná o podpůrnou činnost, je outsourcing hojně využíván. Míra použití outsourcingu se liší podle velikosti bankovního ústavu i podle základního strategického směřování společnosti. U menších ústavů není neobvyklé využití outsourcingu pro většinu IT procesů, velké finanční ústavy většinou využívají outsourcing v menší míře, resp. kombinují využití služeb od vícero outsourcerů.
3.1 Pravidla řízení outsourcingu Pro úspěšné využití outsourcingu je důležité přesné stanovení cílů podniku, tato skutečnost je v bankovním prostředí významně podpořena požadavkem České národní banky ve vyhlášce č. 123/2007 Sb. požadavkem na zpracování návrhu využití outsourcingu, což je jeden ze základních dokumentů, které musí být v rámci přípravy outsourcingu finanční institucí vytvořen.
3.1.1 Důvody zavedení outsourcingu Pro realizaci outsourcingu je možné vnímat následující čtyři oblasti: 1) konkurenční; 2) věcná; 3) finanční; 4) organizační.
23
Konkurenční důvody jsou oblastí čistě strategickou. Ze strategického hlediska je důležité vědět, kde je možné vidět konkurenční výhodu a které oblasti je například možné převést na outsourcing. Z dlouhodobého hlediska je vhodné oblasti, kde společnost chce realizovat svou konkurenční výhodu, nerealizovat pomocí outsourcingu. Ten jí ve většině případů nepřináší požadovanou flexibilitu, a společnost díky využití outsourcingu nemá interně k dispozici dostatečné množství odborníků, kteří by byli schopni držet společnost na strategické pozici v porovnání s konkurencí. Věcné důvody souvisí se zdokonalením současných procesů, a to za předpokladu, že tyto procesy jsou kvalitativně pod běžným průměrem konkurence nebo pod kvalitou služeb dodávaných outsourcerem. Využití outsourcingu v takovém případě umožňuje zajistit vysokou kvalitu požadovaných služeb. Finanční důvody jsou ve většině případů jedním z hlavních motivů, přestože tento model není obecně doporučován. Efektivnost finančních důvodů je daná zejména v rámci menších finančních institucí, které nejsou schopny efektivně realizovat všechny požadavky kladené legislativou, regulátorem a dalšími subjekty. V takovém případě využití outsourcingu má významný finanční efekt při dodržení požadované kvality dodávaných služeb. Organizační důvody jsou využity zejména s ohledem na zjednodušení manažérské práce a interní činnosti celé společnosti. Je nutné poznamenat, že v tomto případě neplatí poměrně rozšířené využití outsourcingu, kdy je jeden ze základních důvodů přenos rizik na externího dodavatele. Tento postup je díky regulatorním pravidlům významně omezen, jelikož povinná osoba při použití outsourcingu má za povinnost realizovat dostatečný dohled nad poskytovatelem služeb a jeho řídícím a kontrolním systémem. V případě identifikace nesrovnalosti má následně povinnost reagovat na vzniklý stav obdobně, jako by nesrovnalost vznikla přímo na úrovni povinné osoby. Společnost The Outsourcing Institute, uvedla na základě výzkumů deset nejčastějších důvodů pro realizaci outsourcingu. Důvody jsou uvedeny dle pořadí významnosti: 1) snížení provozních nákladů a jejich lepší kontrola; 2) zaměření na hlavní činnosti společnosti; 3) zlepšení kvality služeb pomocí outsourcingu; 4) možnost přesunout interní zdroje na jiné interní činnosti; 5) nedostatek interních zdrojů; 24
6) využití efektivnějšího reengineeringu procesů; 7) interní procesy jsou těžko ovladatelné nebo mimo kontrolu; 8) možnost využití kapitálu pro jiné účely; 9) sdílení rizika; 10) optimalizace finančního toku.3 Všechny tyto důvody jsou klíčové pro rozhodování o realizaci outsourcingu, v dnešní době, kdy se do popředí dostává řízení společností pomocí nástrojů, jako je BSC, se dostává outsourcing do zcela jiného pohledu při rozhodování, zda jej využít nebo ne. Pro finanční instituce je klíčové rozhodování o zavedení outsourcingu i z pohledu regulátora. Finanční instituce má za povinnost regulátora informovat o zavedení outsourcingu, včetně předání klíčových informací o využívaných službách. Mezi předávané informace patří zejména strategie využití outsourcingu, informace o vybraném outsourcerovi, smluvní podklady apod. Z pohledu IT je nutné u outsourcingu rozlišovat dva základní pohledy: 1) outsourcing vývoje informačních systémů; 2) outsourcing provozu informačních a komunikačních systémů. Obě tyto části se mohou v reálném prostředí různě překrývat a doplňovat. Je však třeba zajistit, aby při poskytování obou těchto částí nebyly porušeny základní mechanismy řízení rizik, tedy aby obě části nebyly vykonávány identickými pracovníky, kde narůstá riziko defraudace. Negativním dopadem může být i nejasná hranice a zamezení „dodělávek za provozu“. Problematiku je velice vhodné navázat na strategické, taktické i operativní řízení. To je v dnešním IT světě představováno především metodikou CobiT a rámcem ITIL. Strategie využití informačních a komunikačních technologií, případně i strategie využití outsourcingu, by měla reflektovat tyto (nebo obdobné) metodiky, a outsourcing by měl být vnímán jako prostředek pro naplnění činností vybraných procesů. Jak bylo uvedeno výše, obě zmíněné metodiky vnímají outsourcing jako možnost, jak naplnit procesy realizované v části společnosti zajišťující provoz informačních a komunikačních
3
Survey of Current and Potential Outsourcing End-Users, The Outsourcing Institute Membership, 1998
25
technologií, a to zejména v taktických, ale především v operativních procesech. Využité pro strategické procesy není vhodné, jelikož tyto procesy jsou přímo navázány na strategii společnosti, a přenesení realizace informační strategie na outsourcera je nevhodné. Model řízení informačních a komunikačních systémů je možné rozdělit dle následujícího diagramu:
Strategické procesy
•Informační strategie
•Rozvoj organizace ve vazbě na ICT •Ekonomické řízení ICT •Personální řízení ICT •Řízení datových aktiv •Řízení klíčových vlastností informačních systémů •Řízení informačních a komunikačních technologií •Zadávání a koordinace projektů
Taktické procesy
•Řízení dodavatelských projektů •Řízení sítě a provozu •Řízení vlastních projekčních a analytických činností
Operatní procesy
OBRÁZEK 2 ROZDĚLENÍ PROCESŮ NA STRATEGICKÉ, TAKTICKÉ A OPERATIVNÍ
3.1.2 Smlouva o outsourcingu Provoz outsourcingu je řízen dle uzavřené smlouvy o outsourcingu, tato smlouva je klíčovým dokumentem pro celou problematiku outsourcingu a zásadní pro vztah mezi poskytovatelem a odběratelem poskytovaných služeb. Tvorba této smlouvy může být problematický proces, jelikož celá smlouva musí být právně i věcně velice konzistentní a pokrývat různé aspekty smluvního vztahu. Klíčovým prvkem smlouvy je vydefinování poskytovaných služeb (z pohledu metodiky ITIL se jedná o tzv. katalog služeb), jejich parametry a úroveň, která je poskytována v rámci smlouvy. Požadované služby by měli být definované s ohledem na potřeby po celou dobu, na kterou je smluvní vztah plánovaný. Pokud toto není možné, tak je vhodné do smlouvy zakotvit mechanismus, který umožňuje změnu požadovaných parametrů realizovat. Možnost 26
úpravy poskytovaných služeb by měla reflektovat i bezpečnostní problematiku (například pokud dojde k identifikaci bezpečnostního problému na technologické úrovni, mělo by být možné toto řešit přechodem na zabezpečenou verzi) a technologické skoky při implementaci nových technologií. Definice služeb je ve většině případů specifickou záležitostí konkrétní smlouvy. Pouze ve výjimečných případech, kdy jsou využívány opakovatelné služby je využita obdobná definice poskytovaných služeb. Přesná definice poskytovaných služeb je důležitá jak z pohledu odběratele, tak i poskytovatele. S přechodem na definování požadavků co odběratel chce dostat, nikoliv jak toto bude dosaženo, je přesné vnímání poskytované služby oběma subjekty klíčové k oboustranně efektivní a dlouhodobé spolupráci. Dalším, velmi významným parametrem,
outsourcingové smlouvy je domluvená úroveň
poskytovaných služeb a případné sankce při nedodržení této úrovně ze strany poskytovatele. Vztah mezi poskytovatelem a odběratelem při výpadku poskytované služby není symetrický, tedy případný výpadek má větší dopad pro odběratele, než pro poskytovatele. Smlouva o outsourcingu z tohoto pohledu by neměla mít charakter pojištění provozu, k tomu slouží jiné zajišťovací instrumenty. Smluvní pokuta za nedodržení požadované kvality dodávaných služeb bývá tvořena dvěma částmi, první částí je smluvní pokuta, která jde na vrub poskytovatele při nedodržení parametrů a druhá část je reálné pojištění provozu, které je většinou nasmlouvané u třetího subjektu. Pojištění je většinou obvyklé u menších poskytovatelů, kteří za sebou nemají dostatečné silné finanční zázemí pro případné plnění smluvních pokut. Vzhledem k tomu, že smluvní vztah pro outsourcing většinou vzniká minimálně na dobu tří let, většinou však pěti let, je cílem obou smluvních stran reálné nastavení smluvních parametrů a jejich dodržování. V případě, že již od počátku je smluvní vztah nevyvážený, a to jak výši plnění, tak i smluvními pokutami, je velice pravděpodobné, že takový vztah je z dlouhodobého hlediska nefunkční. Cena za poskytování služeb se většinou stanovuje na principu paušálního poplatku. Tento model je většinou výhodný pro oba subjekty vstupující do vztahu. V případě odběratele je tato cena známá dopředu a je možné tedy ji začlenit poměrně přesně do nákladů společnosti. Ze strany poskytovatele je výhodné využití pevné ceny zejména v případě, že jsou náklady na 27
provoz sdíleny několika různými odběrateli. Základním principem stanovení ceny jsou dva mechanismy: 1) Cena by měla být nižší než průměrné interní náklady odběratele za nakupované služby. 2) Pro poskytovatele by cena měla být vyšší než průměrné náklady na poskytované služby. Výpočet této ceny není většinou jednoduchý, jelikož náklady na informační a komunikační technologie bývají rozmělněny do různých organizačních jednotek, případně skryty v různých jiných nákladech. Přechod na outsourcing většinou tento pohled výrazně zjednodušuje a zpřehledňuje.
3.1.3 Řízení outsourcingu Problematika řízení outsourcingu je komplexní disciplínou, jejíž popis je nad rámec této práce. Pro naše potřeby se budeme věnovat zejména problematice hodnocení poskytovaných služeb a realizaci auditu poskytovaných služeb. Hodnocení poskytovaných služeb by mělo být jednou ze základních vlastností smluvního vztahu mezi poskytovatelem a odběratelem. Hodnocení většinou probíhá na kvartální bázi a je spolu s informacemi o závažných incidentech jedním z klíčových podkladů pro identifikaci kvality poskytovaných služeb. Realizace auditu, a to na různých úrovních, mezi poskytovatelem a odběratelem je dalším prostředkem pro řízení outsourcingového vztahu. Realizaci auditů je možné rozdělit na dva typy, na průběžné, které by měli probíhat průběžně během smluvního vztahu. A audity realizované jako reakci na nějakou problematickou činnost. To může být například zásadní bezpečnostní nebo provozní incident.
28
3.2 BASEL II Basilejský výbor pro bankovní dohled zveřejnil 26. června 2004 nová pravidla kapitálové přiměřenosti, která jsou známá jako "BASEL II". Tato pravidla mají za cíl posílení stability a bezpečnosti bank a finančních institucí. Pravidla se nově zabývají provozními riziky (selhání interních procesů, systémů, lidí) a zavádějí nové postupy pro výpočet velikosti rizik a z toho vyplývajících požadavků na alokaci kapitálu. Nová basilejská pravidla vstoupila v platnost v roce 2007. Pravidla kapitálové přiměřenosti BASEL II jsou založena na třech základních pilířích: Pilíř 1: Požadavek na minimální kapitál (Minimum Capital Requirement) – Pravidla pro výpočet požadovaného kapitálu. Stanovuje metody pro měření rizik, pokrývá úvěrové, tržní a provozní riziko. Pilíř 2: Proces dozorného posouzení (Supervisory Review Process) – Posiluje dohlížecí pravomoci. Na základě posouzení rizikového profilu stanovuje regulátor limit kapitálové přiměřenosti jednotlivých bank. Pilíř 3: Požadavky na tržní disciplínu (Market Discipline) – Posiluje požadavky na poskytování informací tak, aby měla veřejnost dostatek informací o rizikovosti bank a finančních institucí. První pilíř BASEL II rozšiřuje okruh rizik, proti nimž banka musí držet kapitál, o rizika provozní. Relevantním dokumentem, který obsahuje doporučení pro zvládání a vyhodnocení stavu jakým banky řídí svá provozní rizika je Sound Practices for the Management and Supervision of Operational Risk. Dokument obsahuje 10 základních principů pro řízení provozních rizik. Naplnění těchto 10 principů je nutným předpokladem pro to, aby banky mohly zvolit pokročilejší přístup v hodnocení provozních rizik (Advanced Measurment Approach, AMA) a v důsledku tak snížit kapitál na jejich pokrytí. Navržená opatření na pokrytí provozních rizik jsou zpravidla prezentována ve struktuře ISO/IEC 27002 a přímo mapována na požadavky BASEL II.
29
3.3 Vyhláška č. 123/2007 Sb. Pro potřeby této práce je použita aktuální verze vyhlášky č. 123/2007 Sb. o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry ve znění vyhlášky č. 282/2008 Sb. a vyhlášky č. 380/2010 Sb. (dále jen vyhláška). Vyhláška upravuje chování bank a dalších regulovaných institucí v následujících činnostech: a) požadavky na řídící a kontrolní systém; b) kapitálovou přiměřenost; c) pravidla angažovanosti; d) pravidla pro nabývání, financování a posuzování aktiv; e) údaje určené k uveřejňování, včetně zkráceného rozsahu údajů o plnění pravidel obezřetného podnikání; f) obsah, formu, lhůty a způsob předkládání informací a podkladů České národní bance; g) kritéria pro vyjmutí osob z konsolidačního celku pro účely dodržování pravidel obezřetného podnikání na konsolidovaném základě. Ve vyhlášce jsou dále definovány následující pojmy (jedná se o výběr pojmů důležitých pro naše potřeby): Informační systém je funkční celek zabezpečující získávání, zpracování, přenos, sdílení a uchovávání informací v jakékoliv formě. Operační riziko je riziko ztráty vlivem nedostatků či selhání vnitřních procesů, lidského faktoru nebo systémů či riziko ztráty vlivem vnějších skutečností, včetně rizika právního. Povinnou osobou se rozumí banka, družstevní záložna, obchodník s cennými papíry a investiční zprostředkovatel. Problematika mající dopad na provoz outsourcingu je upravena v požadavcích na řídící a kontrolní systém. Jedná se zejména o § 9 a § 11. §9 1) Povinná osoba zajistí, že požadavky stanovené na řídicí a kontrolní systém a postupy povinné osoby k jejich naplňování a při výkonu dalších činností jsou promítnuty do organizačního řádu a dalších vnitřně stanovených zásad, pravidel a postupů (dále jen „vnitřní předpis“) povinné osoby a v rámci regulovaného konsolidačního celku. 30
Povinná osoba stanoví postup při přijímání, změně, zavádění a uplatňování vnitřních předpisů. Součástí vnitřních předpisů jsou vždy také pravidla pro evidování reklamací a stížností klientů včetně klientů potenciálních, jejich vyřizování a sledování přijatých opatření. 2) K naplnění předpokladu řádné správy a řízení společnosti prostřednictvím uplatňování řádných postupů povinná osoba zvolí a do vnitřních předpisů promítne jí vybrané uznávané a osvědčené principy a postupy vydávané uznávanými osobami a využívané při činnostech obdobného charakteru (dále jen „uznávaný standard“). Povinná osoba pravidelně prověřuje, zda vnitřní předpisy a jí zvolené uznávané standardy jsou nadále aktuální a přiměřené rozsahu, povaze a složitosti činností povinné osoby. 3) Česká národní banka uveřejňuje ve Věstníku České národní banky a) přehled vybraných uznávaných standardů a přehled vybraných vydavatelů uznávaných standardů, b) srovnávací standardy (benchmark), jejichž obsahem jsou očekávání České národní banky při naplňování požadavků této vyhlášky. 4) Promítnutí standardů podle odstavce 3 do vnitřních předpisů a jejich použití povinnou osobou se považuje za plnění ustanovení odstavce 2 věty první. Tím není dotčeno právo povinné osoby zvolit a do vnitřních předpisů promítnout i jiné uznávané standardy; jejich obsah nebo použití však nesmí být v rozporu s ustanoveními této vyhlášky a ostatních právních předpisů ani obcházet jejich účel. § 11 1) Pokud některou činnost, kterou by jinak vykonávala nebo mohla vykonávat povinná osoba, zajišťuje pro povinnou osobu na smluvním základě jiná osoba (dále jen „outsourcing“), povinná osoba se tím nezbavuje žádné ze svých odpovědností za činnosti, které jsou předmětem outsourcingu. 2) Povinná osoba zajistí, aby v souvislosti se sjednáním nebo využíváním outsourcingu a. nebyl omezen soulad činností, které jsou předmětem outsourcingu, s příslušnými právními předpisy, možnost jejich kontroly povinnou osobou, plnění informačních povinností vůči České národní bance, výkon dohledu, včetně případné kontroly skutečností podléhajících dohledu u poskytovatele outsourcingu, a provedení auditu účetní závěrky a dalších ověření stanovených jinými právními předpisy,
31
b. nebyly ohroženy předpoklady pro řádný a obezřetný výkon činnosti povinné osoby, c. nebyly dotčeny právní vztahy povinné osoby s klientem a d. byla stanovena pravidla kontroly činností, které jsou předmětem outsourcingu, včetně případné kontroly skutečností týkajících se outsourcingu u jeho poskytovatele. 3) Povinná osoba uzavírá smlouvu upravující outsourcing způsobem, který umožňuje zachycení jejího obsahu, kontrolovatelnost a případnou vymahatelnost, jakož i uchovatelnost. Uvedené znění je klíčové pro nastavení základních smluvních podmínek outsourcingu. Tyto podmínky jsou základními stavebními kameny, které je nutné dodržet pro provoz celého smluvního vztahu. Dále bych rád upozornil na druhé ustanovení v §9. Toto ustanovení je klíčové při přizpůsobení řídícího a kontrolního systému velikosti povinné osoby. Povinná osoba pravidelně prověřuje, zda vnitřní předpisy a jí zvolené uznávané standardy jsou nadále aktuální a přiměřené rozsahu, povaze a složitosti činností povinné osoby. Pod tímto poměrně nenápadným odstavcem se skrývá zásadní obsah, který dává šanci na realizaci své činnosti menším finančním subjektům, resp. finančním subjektům, které jsou regulovány touto vyhláškou. Jejich řídící a kontrolní systém je možné uzpůsobit velikosti, která je přijatelná rozsahu finanční instituce, nicméně je třeba mít na paměti, že je nutné i v tomto případě jednoznačně plnit další požadavky na řídící a kontrolní systém, například na neslučitelnost rolí a odbornou způsobilost, důvěryhodnost a zkušenost řídících osob. Požadavky na kvalifikaci řídících osob je definován zejména v zákoně o bankách (zákon č. 21/1992 Sb.) a v zákoně o spořitelních a úvěrních družstvech (zákon č. 87/1995 Sb.). Oba tyto zákony definují požadavky na kvalifikaci odlišnou formulací, danou zejména jinou dobou jejich aktualizace. Nicméně význam kvalifikace, pro odborně způsobilou osobu, má stejný význam v obou těchto zákonech. Za tuto osobu se považuje osoba, která: 1) má ukončené úplné střední vzdělání a nejméně 5 let praxe v související činnosti (dle charakteru vykonávané činnosti), nebo 2) má ukončené vysokoškolské vzdělání a nejméně 2 roky praxe v související činnosti.
32
3.3.1 Outsourcing z pohledu vyhlášky č. 123/2007 Sb. Oblast outsourcingu v bankovním prostředí z pohledu vyhlášky je samostatně upravena úředním sdělením České národní banky ze dne 18. července 2007. Toto sdělení upravuje pravidla obezřetného podnikání bank a spořitelních a úvěrních družstev při využití outsourcingu. Definice outsourcingu z pohledu vyhlášky je poněkud jiná, než je běžně používáno. Vyhláška definuje outsourcing jako činnost, která je vykonávána na smluvním základě, kterou by jinak vykonávala povinná osoba. Poskytovatelem outsourcingu může být v tomto případě fyzická nebo právnická osoba. Outsourcingem se rozumí i poskytování činností subjekty patřícími do jednoho konsolidačního celku. Poskytovatelem outsourcingu se rozumí i osoba, která pro povinnou osobu zajištuje některé činnosti spojení s nabídkou nebo prodejem produktů nebo služeb. Mezi poskytovatele outsourcingu však nepatří osoby, které dodávají standardizované nebo běžně nabízené zboží nebo služby. Jedním z klíčových vlastností využití outsourcingu v bankovním prostředí je fakt, že jeho využitím se povinná osoba nezbavuje žádných ze svých odpovědností. A to zejména odpovědnosti dodržovat právní předpisy a podmínky, na základě kterých byla udělena licence nebo povolení. A dále nepoškozovat zájmy klientů nebo členů, včetně zajištění ochrany osobních údajů a ochrany informací podléhající bankovnímu tajemství. Vzhledem k tomu, že se povinná osoba nezbavuje žádných ze svých povinností, je požadovaná pravidelná kontrola využití outsourcingu a to prostřednictvím osoby či osob s odpovídajícími zkušenostmi v dané oblasti. Posuzuje se především: a) zda je outsourcovaná činnost trvale vykonávána v souladu se všemi příslušnými právními předpisy a se smlouvou o outsourcingu; b) důvěryhodnost poskytovatele a jeho schopnost poskytovat outsourcovanou činnost z pohledu právního, finančního, odborného a technického; c) mechanismus vnitřní kontroly a řízení rizik u poskytovatele outsourcingu, včetně prověření funkčnosti těchto mechanismů a řízení mimořádných událostí; d) zachování bankovního tajemství a osobních údajů klientů; e) dodržování zásad a postupů povinných osob pro oblast outsourcing; f) vnitřní a kontrolní systém povinné osoby, zejména s ohledem na zjištění případných nedostatků při využití outsourcingu a přijetí nápravných opatření; g) celková funkčnost a efektivnost outsourcingu. 33
Problematika podkladů, které by povinná osoba měla zpracovat před zahájením využívání outsourcingu je uvedena v samostatné kapitole (5.1). Dalším doporučením ze strany České národní banky je finanční pohled na služby dodávané formou outsourcingu, tedy že povinná osoba nesjednala smlouvu na poskytované služby za nápadně nevýhodných podmínek pro povinnou osobu.
3.3.2 Požadavky na řídící a kontrolní systém Požadavky na řídící a kontrolní systém finančních institucí definuje Česká národní banka, a to konkrétně ve Vyhlášce 123/2007 Sb., kdy tyto požadavky vycházení přímo ze Zákona o bankách a Zákona o spořitelních a úvěrních družstvech. Řídící a kontrolní systém je Českou národní bankou vnímán tak, aby přebíral veškeré požadavky osoby povinné. Klíčové ustanovení, které ovlivňuje velikost řídícího a kontrolního systému je uvedena ve Vyhlášce č. 123/2007 Sb., konkrétně v §8. Povinná osoba naplňuje požadavky stanovené na řídicí a kontrolní systém s ohledem na svou velikost, organizační uspořádání, povahu, rozsah a složitost činností, které vykonává nebo hodlá vykonávat, a přihlíží přitom k vývoji prostředí, v němž podniká, včetně vývoje v oblasti řádné správy a řízení společnosti. Toto vyjádření dává poměrně velkou pravomoc při definování velikosti a náplně jednotlivých složek řídícího a kontrolního systému. Bohužel ze strany České národní banky, nejsou nikde stanoveny typické řídící modely nebo směrnice, které by při tvorbě měli být použity. Toto se snaží Česká národní banka omezit a v návrhu nových směrnic týkajících se výkonu dohledu činnosti na finančním trhu, kde jsou již definovány typické případy fungování celého nebo části řídícího a kontrolního systému. Dá se předpokládat, že s rozšiřováním regulace, kdy tento trend je dlouhodobě implementován do českého finančního prostředí, bude tato oblast podrobněji a lépe do budoucna specifikována. Je vhodné vzpomenout, že problémy spojené s řídícím a kontrolním systémem byly jedním z důvodů finanční krize. Tuto skutečnost reflektuje úprava Vyhlášky č. 123/2007 Sb. platná od 1. 1. 2011, kdy se podstatně detailněji specifikují personální požadavky na vnitřní a kontrolní systém. To zejména v oblasti požadovaného vzdělání na osoby v tomto systému. 34
4 Auditní techniky pro bankovní sektor Cílem kapitoly je objasnit problematiku auditu v kontextu bankovního sektoru. Je však třeba jednoznačně říci, že základem je auditní činnost realizovaná identicky pro všechny další sektory, pouze zde dochází ke zpřesnění a doplnění některých činností vycházejících z faktu, že bankovní sektor je regulovaným sektorem. Regulátor pro bankovní sektor v České republice je Česká národní banka, a své požadavky vydává v rámci Vyhlášky č. 123/2007 Sb. Samotný proces auditu je tímto významně ovlivněn, jelikož regulatorní požadavky na bankovní sektor nastavují poměrně detailní a komplexní požadavky na zajištění provozu informačních a komunikačních technologií. Jejich popis, přiměřeně detailní pro naše potřeby.
4.1 Auditní standardy Pro realizaci auditu je k dispozici několik specifických standardů, které je možné k auditu použít, nicméně klíčovou oblastí, které pokrývá základní potřeby auditu je obsažena v metodice CobiT a dalších doplňujících dokumentech vydaných organizací ISACA. Dále je k dispozici celá řada dílčích dokumentů, které dávají návod na realizaci auditu vesměs konkrétních technických částí. Organizace ISACA dává k dispozici poměrně detailní rámec pro realizaci auditů informačních technologií a informačních systému. Příprava podkladů pro audit byl původní záměr vzniku této organizace. K dispozici jsou tři základní úrovně pohledu na samotný audit:
Standardy – definují povinné požadavky pro audit informačních technologií a systémů a tvorbu auditních zpráv. Oblast auditních standardů má především charakter korektní realizace a řízení vlastního auditu, neřeší detailně technické části auditních postupů.
Směrnice – poskytují návody pro použití Standardů. Jedná se o doporučenou část, kterou by auditor měl vzít v úvahu při realizaci auditu, nicméně toto by mělo být jednoznačně přizpůsobeno formě a rozsahu realizovaného auditu.
Procedury – jedná se o příklady, které auditor může při samotném auditu použít. Samotné procedury vycházení přímo ze Směrnic, ale nejsou žádným způsobem pro auditora povinné.
35
4.1.1 Auditní standardy dle ISACA Seznam auditních standardů informačních technologií a informačních systému: Identifikace
Oblast
Platnost od
S1
Audit Charter / Auditní stanovy
1. ledna 2005
S2
Independence / Nezávislost
1. ledna 2005
S3
Professional Ethics and Standards / Profesní etika a
1. ledna 2005
standardy S4
Competence / Odborná způsobilost
1. ledna 2005
S5
Planning / Plánování
1. ledna 2005
S6
Performance of Audit Work / Provedené auditní
1. ledna 2005
činnosti S7
Reporting / Vytváření auditních zpráv
1. ledna 2005
S8
Follow-Up Activities / Následné činnosti
1. ledna 2005
S9
Irregularities and Illegal Acts / Podvodné a
1. září 2005
protiprávní jednání S10
IT Governance / Správa a řízení IT
1. září 2005
S11
Use of Risk Assessment in Audit Planning / Využití
1. listopadu 2005
stanovení rizika při plánování auditu S12
Audit Materiality / Podstata auditu
1. července 2006
S13
Using the Work of Other Experts / Využití výstupů
1. července 2006
ostatních expertů S14
Audit Evidence / Auditní evidence
1. července 2006
S15
IT Controls / Kontroly IT
1. únor 2008
S16
E-commerce
1. únor 2008
OBRÁZEK 3 S EZNAM AUDITNÍCH STANDARDŮ DLE ISACA Vlastní realizace auditu by měla probíhat v souladu se všemi uvedenými standardy, s ohledem na rozsah se budeme podrobněji věnovat pouze některým standardům, které jsou pro náš pohled na audit klíčové.
4.1.1.1 S1 Audit Charter (Auditní stanovy) Jedná se o standard obsahující základní principy a klíčové procedury pro realizaci auditu, účel tohoto auditního standardu je zavést a poskytnout doporučení týkající se Auditních stanov
36
použitých během auditního procesu. Auditní stanovy (nebo také zadání) musí být odsouhlaseno a schváleno odpovídající úrovní vedení v dané organizaci. Postup, kdy jsou auditní stanovy připraveny a odsouhlaseny před vlastní realizací auditu jsou klíčové pro samotnou realizaci auditu, byť se zdá, že toto není třeba zmiňovat, jelikož je to „zřejmé“, bývá nenaplnění této oblasti téměř jasným neúspěchem realizace vlastního auditu. Při realizaci vlastního auditu je dodržení auditních stanov klíčové, často se stává, že při realizaci vlastního auditu dochází k identifikaci oblastí, které by bylo vhodné podrobit detailnějšímu auditnímu zkoumání. To ovšem většinou naráží na problémy s časem a rozsahem vlastního auditu. Součástí auditních stav by měl být postup, jak v takovém případě reagovat.
4.1.1.2 S5 Planning (Plánování) Plánování auditu je dalším klíčovým standardem a přímo navazuje na standard S1. Obsahem je především plán rozsahu auditu tak, aby byly naplněny auditní cíle, které jsou uvedeny právě v auditních stanovách. Auditní plán musí jednoznačně reflektovat odpovídající právní předpisy a příslušné odborné auditní standardy. Tvorba a dokumentace auditního plánu, je především založena na stanovení rizik. Obsahem auditního plánu by měl být detailní popis podstaty auditu, časový harmonogram a rozsah, cíle a zdroje auditu.
4.1.1.3 S10 IT Governance (Správa a řízení IT) Cílem tohoto standardu je především hodnocení oblasti správy a řízení IT – zda je IT útvar v souladu s misí, vizí, hodnotami, cíli a strategií společnosti. To je v našem případě klíčové zejména z pohledu plánu a realizace outsourcingu, případně naplnění strategie outsourcingu. Jak budeme řešit dále, tak i přes zajištění některých činností outsourcingem, není možné delegovat odpovědnosti za realizované činnosti na outsourcera. Součástí této směrnice je jedna z klíčových oblastí pro outsourcing, jedná se konkrétně o jednoznačný popis dodávaných činností (služeb) s očekávaným dopadem na další podnikové útvary a pravidla měření úrovně těchto služeb. Dále do této směrnice patří hodnocení efektivity využívání IT zdrojů a fungování procesů řízení, soulad s právními požadavky, požadavky na bezpečnost, kontrolní prostředí organizace a hodnocení rizik, které mohou negativně ovlivnit IT prostředí. 37
Další zdroje, které je možné využít, jsou především ve směrnicích:
G5 Audit Charter (Auditní stanovy)
G6 Materiality Concepts for Auditing Information Systems (Význam konceptu pro audit informačních systémů)
G12 Organisational Relationship and Independence (Organizační vztahy a nezávislost)
G13 Use of Risk Assessment in Audit Planning (Využití stanovení rizika v rámci plánování auditu)
G15 Planning (Plánování)
G16 Effect of Third Parties on an Organisation’s IT Controls (Vliv třetích stran na IT kontroly organizace)
G17 Effect of a Nonaudit Role on the IS Auditor’s Independence (Dopad neauditní role na nezávislost IT auditora)
4.1.2 Auditní směrnice dle ISACA O některých klíčových auditních směrnicích z pohledu auditu outsourcingu byla drobná zmínka v předešlé kapitole, pro úplnost uvádím seznam všech auditních směrnic a klíčovým významem pro výkon auditu v oblasti outsourcingu. Identifikace
Oblast
Platnost od (poslední revize)
G1
Using the Work of Other Auditors / Využití výstupů
1. března 2008
ostatních auditorů G2
Audit Evidence Requirement / Požadavky auditní
1. května 2008
evidence G3
Use of Computer Assisted Audit Techniques
1. března 2008
(CAATs) / Použití výpočetní techniky při auditu (CAATs) G4
Outsourcing of IS Activities to Other Organisations /
1. května 2008
Outsourcing IT aktivit jiným organizacím G5
Audit Charter / Auditní stanovy
1. února 2008
G6
Materiality Concepts for Auditing Information
1. května 2008
Systems / Význam konceptu pro audit informačních systémů
38
G7
Due Professional Care / Přiměřená odborná péče
1. března 2008
G8
Audit Documentation / Auditní dokumentace
1. března 2008
G9
Audit Considerations for Irregularities and Illegal
1. září 2008
Acts / Auditní úvahy o podvodech G10
Audit Sampling / Výběr auditních vzorků
1. srpna 2008
G11
Effect of Pervasive IS Controls / Dopad kontrolních
1. srpna 2008
mechanismů IS G12
Organisational Relationship and Independence /
1. srpna 2008
Organizační vztahy a nezávislost G13
Use of Risk Assessment in Audit Planning / Využití
1. srpna 2008
analýzy rizik v rámci plánování auditu G14
Application Systems Review / Audit aplikací
1. října 2008
G15
Audit Planning Revised / Revidované plánování
1. května 2010
auditu G16
Effect of Third Parties on an Organisation’s IT
1. března 2009
Controls / Dopad třetích stran na kontrolní mechanismy IT v organizacích G17
Effect of Nonaudit Role on the IT Audit and
1. května 2010
Assurance Professional’s Independence / Dopad neauditní role na nezávislost IT auditora G18
IT Governance / Správa a řízení IT
1. července 2002
G19
Irregularities and Illegal Acts / Podvodné a
Zrušeno 1. září 2008
protiprávní jednání G20
Reporting / Tvorba dokumentace
16. srpna 2010
G21
Enterprise Resource Planning (ERP) Systems Review
16. srpna 2010
/ Audit podnikových informačních systémů (ERP) G22
Business-to-consumer (B2C) E-commerce Review /
1. října 2008
Audit Business-to customer E-commerce G23
System Development Life Cycle (SDLC) Review
1. srpna 2003
Reviews / Audit životního cyklu vývoje informačnícho systému (SDLC) G24
Internet Banking / Internetové bankovnictví
1. srpna 2003
G25
Review of Virtual Private Networks / Audit
1. červenec 2004
39
virtuálních privátních sítí G26
Business Process Reengineering (BPR) Project
1. červenec 2004
Reviews / Audit reengineeringu business procesů G27
Mobile Computing / Mobilní zařízení
1. září 2004
G28
Computer Forensics / Forenzní audit výpočetní
1. září 2004
techniky G29
Post-implementation Review / Poimplementační
1. ledna 2005
přehled G30
Competence / Způsobilost
1. července 2005
G31
Privacy / Důvěrnost
1. července 2005
G32
Business Continuity Plan (BCP) Review From It
1. září 2004
Perspective / Audit plánů kontinuity z IT pohledu G33
General Considerations on the Use of the Internet /
1. března 2006
Základní úvahy při využití Internetu G34
Responsibility, Authority and Accountability /
1. března 2006
Odpovědnost, pravomoc a dokazatelnost G35
Follow-up Activities / Následné činnosti
1. března 2006
G36
Biometric Controls / Biometrické kontrolní
1. února 2007
mechanismy G37
Configuration Management Process / Audit procesu
1. listopadu 2007
řízení konfigurace G38
Access Controls / Kontroly přístupu
1. února 2007
G39
IT Organisation / Organizace IT
1. května 2008
G40
Review of Security Management Practices / Přezkum
1. října 2008
postupů řízení bezpečnosti G41
Return on Security Investment (ROSI) / Návratnost
1. května 2010
investic do bezpečnosti G42
Continuous Assurance / Průběžné vyhodnocování
OBRÁZEK 4 S EZNAM AUDITNÍCH SMĚRNIC DLE ISACA
40
1. května 2010
4.1.3 Auditní metodika Auditní metodika je soubor zdokumentovaných auditních postupů navržených tak, aby bylo dosaženo plánovaného cíle auditu. Části auditní metodiky je stanovení rozsahu, stanovení cílů auditu a stanovení auditního programu. Auditní metodika musí být stanovena a schválena vedením auditu, aby byla zajištěna konzistence při použití auditní metodiky. Tento krok je důležitý zejména při realizaci auditů větších rozsahů. Auditní metodika by měla být realizována v souladu na auditní standard S1 (Audit charter). Následující tabulka obsahuje přehled fází typického auditu. Fáze auditu
Popis
Předmět auditu
Identifikace oblasti, která je předmětem auditu
Cíl auditu
Identifikace účelu auditu. Pro naše případy se může například jednat o realizaci auditu bezpečnosti poskytovaných služeb v rámci outsourcingu.
Rozsah auditu
Identifikace systémy a organizační jednotky, které budou zahrnuty v auditu. Zde je nutné k definici organizačních jednotek přistupovat obezřetně.
Velké
množství
organizačních
jednotek a systémů audit významně rozšiřuje, malé množství zase nedává dostatečný prostor pro identifikaci komplexních procesů. Předauditní plánování
Identifikovat požadované technické schopnosti a potřebné lidské zdroje.
Identifikovat zdroje informací pro testování a prověřování jako jsou vývojové diagramy, politiky,
standardy,
postupy
a
předchozí
pracovní materiály.
Identifikovat lokality a zařízení, která budou předmětem auditu.
Auditní
postupy a kroky pro
shromažďování dat
Identifikovat a vybrat metodu pro ověření a otestování kontrolních mechanismů
Identifikovat seznam osob pro interview. 41
Identifikovat a získat politiky, procedury a postupy pro ověření.
Navrhnout
auditní
nástroje
a
metodiku
testování kontrol. Procedury pro vyhodnocování testů
Nutno individuálně specifikovat pro daný audit.
Nutno individuálně specifikovat pro daný audit.
Identifikovat procedury následného sledování.
Identifikovat
a zhodnocení výsledků Procedury
pro
komunikaci
s
vedením Tvorba auditní zprávy
procedury
pro
hodnocení
a
testování provozní efektivnosti a účinnosti.
Identifikovat procedury pro testování řídících a kontrolních mechanismů.
Revize a hodnocení přiměřenosti dokumentů, politik a procedur.
OBRÁZEK 5 FÁZE AUDITU Jedná se o typický rozsah auditní metodiky. Je však třeba říci, že jednotlivé kroky se mohou v různých auditech lišit, dle charakteru a velikosti auditu. Všechny auditní postupy, plány, zjištění a další kroky musí být řádně dokumentovány a uchovávány. Auditor by dále měl mít vytvořen mechanismus archivace takto vytvářené dokumentace, aby bylo dohledatelné v případě vzniku pozdějšího sporu o výsledcích nebo průběhu auditu.
42
4.2 Licenční ujednání a autorská práva Licenční ujednání v kontextu autorského práva je poměrně komplikovanou oblastí. Pro potřeby této práce je možné tuto problematiku rozdělit na dvě základní části: 1) Standardní licence 2) Ostatní licence Mezi standardní licence patří zejména běžné produkty, jako jsou operační a databázové systémy, další nástroje dodávané bez požadavku na úpravu chování na úrovni zdrojového kódu. Typičtí dodavatelé jsou například: Microsoft, RedHat pro operační systémy nebo databázových systémů: Oracle, IBM. Vzhledem k omezenému rozsahu se budeme věnovat typickému řešení v této oblasti, tedy produkty společnosti Microsoft. Ostatní licence, které jsou v rámci outsourcingového vztahu dodávány, jsou typicky upraveny na míru požadavkům odběratelů dodávaných služeb. Takto vytvořené vztahy není vhodné paušalizovat a je třeba ke každému licenčnímu ujednání přistupovat specificky. V tomto vztahu je nutné vnímat rozdílné pohledy autorských a majetkových práv.
4.2.1 Licencování outsourcingu produktů společnosti Microsoft Vzhledem k tomu, že v dnešní době jsou produkty společnosti Microsoft jedny z nejrozšířenějších a v rámci outsourcingového vztahu je velice pravděpodobné jejich využití, uvedu pohled na licenční model společnosti Microsoft a to jak z pohledu outsourcingového vztahu, tak i následného auditu. Licenční model společnosti Microsoft se v roce 2009 významně změnil, kdy začala platit tzv. SPLA (Service Provider License Agreement) ve své aktuální podobě. Současně s touto licencí byla vydána aktualizace všech ostatních licencí (a to jak krabicových, tak i ostatních licenčních programů). Aktualizace zajišťují, že jiná možnost, než je využití SPLA, není možné pro model outsourcingu. Z tohoto pohledu se nám tedy situace zjednodušila a poskytovatele outsourcingových služeb musí mít uzavřenou SPLA se společností Microsoft (resp. se SPLA Resellerem, což v České republice je pouze společnost Daquas). Podmínky, za kterých jsou následně poskytovány služby, jsou již poměrně jednoduché a předpokládatelné:
Hardware, na kterém jsou licence provozovány, musí být ve vlastnictví poskytovatele.
Mezi poskytovatelem a odběratelem nesmí být majetková provázanost. 43
V licenčním modelu SPLA zatím není vhodně ošetřena problematika virtuálních desktopových licencí, tato část je ze strany společnosti Microsoft řešena pouze okrajově. Jinak v tomto modelu je možné využít téměř všech produktů, které společnost Microsoft nabízí. Mezi typické patří:
Microsoft Windows Server, Microsoft SQL Server
Microsoft Exchange Server, Microsoft Exchange Hosted Services
Microsoft Office System , Microsoft Office Sharepoint Server
produkty Microsoft Systém Center
Microsoft Dynamics (Navision, Axapta, CRM)
Z pohledu auditu je vhodné se zaměřit na využití licencí společnosti Microsoft, tedy například na počet a typ využívaných licencí a na zajištění SPLA vztahu mezi poskytovatelem a odběratelem.
4.3 Bezpečnost řešení Bezpečnost je jedním z klíčových parametrů s oblasti finančního sektoru. Tento sektor je přirozeně konzervativní a tím, že pracuje s finančními prostředky svěřených subjektů, je nutné zachovávat maximální důraz na celkovou bezpečnost řešení. Problematika bezpečnosti byla dlouhodobě řešena spíše na principu příčiny a následku. Bezpečnost tohoto sektoru je možné rozdělit dle několika různých rovin, osobně z praxe doporučuji využít perimetr, kde se bezpečnost řeší.
4.3.1 Bezpečnost interní Tato oblast je zaměřena především na zajištění bezpečnosti proti internímu útočníkovi (většinou se jedná o interní zaměstnance nebo externí spolupracovníky). Na této úrovni jsou implementovány zejména opatření zajišťující oddělení rolí tak, aby jedna osoba nebyla vnímána jako hrozba. Cílem je rozmělnit klíčové operace tak, aby například pomocí nástrojů typu mechanismus práv, autorizační procesy, kontrola čtyř očí, apod.
4.3.2 Bezpečnost externí S rozvojem elektronických nástrojů pro ovládání procesů banky, jako je například internetové bankovnictví, platební karty a další instrumenty přímo nebo nepřímo připojené ke klíčovým informačním systémům, vznikl poměrně zásadní jiný pohled na bezpečnost oproti původnímu vnímání bezpečnosti. 44
Zajištění bezpečnosti v této rovině je zajištěno značně jiným pohledem na realizaci bankovních procesů. V těchto případech je nezbytné, aby bankovní procesy, které má možnost ovládat klient existovaly v jednoznačně definovaném procesu, který není možné významně modifikovat. Dále je klíčové zajištění externího bezpečnostního perimetru dostatečně kvalitním informačním systémem. Jakýkoliv bezpečnostní problém má značné dopady do operačních rizik finanční instituce.
4.3.3 Bezpečností politika Finanční instituce by měla mít definovanou bezpečnostní politiku, jedná se o jeden z klíčových dokumentů, který slouží pro řízení této instituce. Bezpečností politika by měla vycházet především z analýzy rizik a měla by reflektovat nejlepší praktiky z této oblasti. Bezpečností politiku je nutné vnímat jako kontinuální proces, v okamžiku kdy nereflektuje aktuální požadavky instituce a okolí, je pravděpodobné, že dokument zastará a jeho efektivita se snižuje.
Business cíle
Monitoring a audit
Řízení informační bezpečnosti
Implementace bezpečností politiky
Analýza rizik a výběr opatření
Bezpečností politika a související dokumenty
OBRÁZEK 6 PROCES TVORBY BEZPEČNOSTNÍ POLITIKY Na obrázku je uveden postup implementace bezpečností politiky do organizace, jak vyplívá, tak se jedná o kontinuální proces, který musí reflektovat nejen bezpečností doporučení, ale chování organizace. Porozumění business cílům 45
Obchodní cíle jsou klíčovým ukazatelem, které oblasti bezpečnosti je nutné řešit s jakou intenzitou. Dále obchodní požadavky mohou zásadně ovlivnit vnímání realizovaných procesů. Řízení informační bezpečnosti V okamžiku, kdy známe dostatečně dobře obchodní cíle, můžeme je promítnout do bezpečností politiky, případně strategie bezpečnosti. Provedení analýzy rizik Dalším krokem je analýza rizik, jejímž cílem je identifikovat pro danou organizaci kritická a citlivá aktiva, potenciální hrozby a možné zranitelnosti a následně vybrat vhodná opatření, která by vedla ke snížení rizik. Sepsání bezpečnostní politiky Je primárně tvořena výstupy z provedené analýzy rizik. Měla by reflektovat všechny kroky vedoucí k naplnění bezpečnostních požadavků. Implementace bezpečnostní politiky Vzhledem k tomu, že bezpečnostní politiku nevytváříme proto, abychom ji mohli předložit auditorovi, ale aby se jí naši zaměstnanci mohli skutečně řídit, musí logicky přijít i fáze implementace bezpečnostní politiky. V rámci této fáze by měli být všichni zaměstnanci s bezpečnostní politikou prokazatelně seznámeni. Monitoring a audit Abychom si ověřili, že zaměstnanci politice rozumí a dodržují zásady v ní uvedené, měli bychom provádět kontroly formou monitoringu a auditu.
46
5 Ověření v bankovním prostředí Kapitola popisuje dva základní pohledy na reálnou situaci využití komplexního outsourcingu v prostředí české legislativy. Pro potřeby této práce je použito reálného bankovního prostředí menšího finančního subjektu, včetně odpovídající realizace auditu. Jednotlivá oddělení jsou modelována pro finanční subjekt „minimální velikosti“, který splňuje požadavky na provoz finančního prostředí v českém prostředí. V případě větších společnosti jsou tyto oddělení již pouze více členěny, ale legislativa nevyžaduje zásadně jinou úpravu řídícího a kontrolního systému. První pohled je především na zavedení outsourcingového vztahu a nastavení požadovaných služeb. A to od počátku přípravy vztahu, kdy bankovní instituce zahajuje tvorbu požadovaných dokumentů, až po zahájení poskytování služeb. Druhý pohled následně ukazuje modelový případ realizace auditu nad takto využívanými službami.
5.1 Pravidla a postup nastavení outsourcingu Jak bylo několikrát řečeno, tak outsourcingový vztah v bankovním prostředí vzniká dlouho před vlastním uzavřením smlouvy. V přípravné fázi je nutné připravit podklady, které zajistí požadovanou připravenost bankovního subjektu na uzavření outsourcingového vztahu. Klíčovým dokumentem bankovního subjektu je Strategie využívání outsourcingu. Jedná se o klíčový strategický dokument, který je schvalován na úrovni představenstva nebo obdobné. V rámci Strategie využívání outsourcingu je v konkrétních případech vždy dále vypracovat další podklady, v modelovém případě se jedná o dokumenty: 1) Návrh smlouvy o outsourcingu 2) Stanovisko odboru vnitřní audit 3) Stanovisko odboru řízení rizik 4) Stanovisko odboru compliance 5) Stanovisko odboru informační technologie Všechny uvedené informace vycházejí z legislativních požadavků, které jsou kladeny na odběratele i poskytovatele přímo legislativou a regulací.
47
S pohledu řízení informačních a komunikačních technologií na straně odběratele je klíčové využití oblasti IT Governance, tedy oblasti, které se maximálně věnuje metodika CobiT.
5.1.1 Strategie využívání outsourcingu Strategie využití outsourcingu je klíčovým dokumentem, který stanovuje pravidla, jak má být outsourcing využíván, za jakých podmínek a pro jaké služby. Tento dokument je připravován na nejvyšší úrovni, odpovědnost za tento dokument je přímo na povinné osobě. Česká národní banka v úředním sdělení České národní banky k pravidlům obezřetného podnikání bank a spořitelních a úvěrních družstev, ve třetím bodě, stanovuje povinnosti povinné osoby takto: Povinná osoba před zahájením využívání outsourcingu stanoví: 1) strategii pro využívání outsourcingu, která zahrnuje hlavní cíle a zásady pro využívání outsourcingu (včetně zásad pro řízení souvisejících rizik a kontrolní mechanismy), 2) pravomoci, odpovědnosti a postupy při využívání outsourcingu. Tento materiál by tedy měl dostatečným způsobem popsat problematiku: 1) předmět outsourcingu; 2) uvést hlavní důvody a očekávané dopady outsourcingu včetně všech hledisek významných rizikových aspektů outsourcingu; 3) posouzení, zda outsourcing neomezí soulad činností s právními předpisy a regulatorními požadavky; 4) stanovení podmínek provádění outsourcingu, včetně požadavků na kvalitu zajišťovaných činností, požadavků kladených na poskytovatele outsourcingu a kritéria pro jeho výběr; 5) identifikace oblasti možného vzniku střetu zájmů při využití outsourcingu; 6) analýzu rizika spojenou s outsourcingem a stanovení zásad a postupů anebo metody, jakými budou tato rizika řízena (tj. rozpoznávána či měřena, sledována, ohlašována a případně omezována); 7) plán postupu pro případ mimořádné situace včetně následného postupu v případě, kdy poskytovatel outsourcingu nebude schopen pokračovat v řádném zajišťování outsourcingu.
48
Samozřejmostí je pravidelná aktualizace pohledu na využití outsourcingu, a zda jsou plněny očekávané cíle outsourcingu.
49
5.1.2 Návrh smlouvy o outsourcingu Smlouva o outsourcingu je komplexní právní dokument, jehož cílem je zajištění vztahu mezi poskytovatelem a odběratelem, s cílem jasného nastavení pravidel při poskytování požadovaných služeb a řešení kritických situací, které mohou během vztahu vzniknout. Z pohledu metodiky CobiT a rámce ITIL je doporučeno, aby smlouva o outsourcingu by měla obsahovat následující informace: 1) Popis sady poskytovaných služeb včetně podrobné specifikace těchto služeb a. Přesná definice poskytovaných služeb, které jsou poskytovány na základě smlouvy. b. Postup pro řešení sporů, zda činnost patří do poskytované služby nebo ne. c. Pravidla pro služby, které nejsou součástí smlouvy nebo nejsou ze strany odběratele využívány. d. Cena za tyto služby. e. Definice úrovně poskytovaných služeb – SLA. f. Pokuty (a případné slevy) při nedodržení úrovně poskytovaných služeb. g. Pravidla pro technologickou obnovu poskytovaných služeb (platí zejména u služeb vázaných na konkrétní technologie). h. Výkonové standardy poskytovaných služeb. 2) Doba poskytování služeb a. Poskytování na dobu určitou / neurčitou s možností automatické prolongace smlouvy (případně jiný mechanismus obnovování smlouvy). b. Doba zahájení poskytování služeb a zahájení finančního plnění za dodávané služby. c. Výpovědní doba smlouvy v případě, že dochází k výpovědi v době platnosti smlouvy a v případě, že dochází k výpovědi v době, kdy smlouva je uzavřena na dobu neurčitou. 3) Místo poskytování služeb a. Pravidla pro poskytování služeb z pohledu místa poskytování služeb. 4) Ujednání o exkluzivitě a. Poskytované služby mohou být natolik specifické, že jejich prozrazení by mohlo znamenat ohrožení obchodních záměrů odběratele. 5) Pravidla realizace subdodávek 6) Pravidla zacházení s technickými prostředky 50
a. Vlastnictví technických prostředků pro poskytování služeb. b. Odpovědnost za údržbu a pravidla obnovy technických prostředků c. Vedení evidence technických prostředků. 7) Aplikační a systémový software a. Pravidla nákupu a vlastnictví software. b. Licenční ujednání. 8) Pravidla využití lidských zdrojů a. Kvalifikace pracovníků na obou stranách. b. Řízení pracovníků mezi poskytovatelem a odběratelem. 9) Řízení projektů a. Metodika a projektový tým. b. Pravidla obsazování budoucích projektů. 10) Ochrana informací a. Soulad bezpečnostních politik mezi poskytovatelem a odběratelem. b. Smluvní pokuty za nedodržení pravidel / prokázaný únik dat. 11) Dodržování legislativy a. Povinnosti spojené s dodržením legislativních požadavků. b. V dohledu regulátorem, dodržení požadavků regulátora. 12) Audit a. Možnost realizace auditů mezi subjekty a to jak poskytovaných služeb, tak i ostatních procesů. 13) Další finanční informace a. Dodatečné platby a bonusy. b. Vazby na inflaci a kurzy měn. c. Pojištění provozovaných služeb. 14) Pravidla komunikace a řízení změn a. Předávání pravidelných zpráv o úrovni poskytovaných služeb. b. Informování o závažných incidentech a bezpečnostních incidentech. c. Způsob řešení nových požadavků. d. Dlouhodobé hodnocení poskytovaných služeb ze strany odběratele. Další ustanovení se mohou týkat transformace stávajícího stavu na poskytovatele a případná pravidla při ukončení poskytovaných služeb nebo převodu poskytovaných služeb na jiného poskytovatele nebo do interního provozu. 51
5.1.3 Stanovisko odboru řízení rizik Stanovisko odboru řízení rizik by mělo obsahovat minimálně následující řešení: 1) Zásady pro řízení rizik spojených s outsourcingem a kontrolní mechanismy. Případný popis vazeb na komplexní řízení outsourcingového rizika – pokud je tento mechanismus vytvořen a používán). 2) Řízení výskytu mimořádných událostí, které by mohly mít významný negativní vliv na řádný výkon outsourcovaných činností, včetně požadavků na pohotovostní plány. 3) Analýza rizik spojených a outsourcingem a stanovení zásad a postupů anebo metody, jakými budou tato rizika řízena (tj. rozpoznávána, vyhodnocována či měřena, sledována ohlašována a případně omezována). 4) Zásady pro řízení rizika koncentrace a případného omezení na přijatelnou celkovou úroveň outsourcovaných činností a rizik z nich vyplývajících. Při stanovení outsourcingu řízení rizik a jeho programu a hodnocení tohoto rizika pro odběratele závisí na několika faktorech včetně rozsahu a významnosti outsourcovaných činností. Též musí být vytvořen rámec, jak dobře bude odběratel toto riziko řídit, sledovat a kontrolovat (včetně jeho celkového dopadu do operačního rizika), a jak dobře poskytovatel řídí poskytované služby a kontroluje potenciální rizika operace. Některé faktory, které by mohly pomoci při posuzování významnosti rizik: 1) Finanční, reputační a provozní dopad na odběratele, selhání poskytovatele služeb k odpovídajícímu provedení činnosti. 2) Důsledky outsourcingu na schopnost a kapacitu odběratele ve vztahu k regulačním požadavkům a změny v požadavcích. 3) Vzájemný vztah s externě zajištěnou činností s domácími činnostmi. 4) Příslušnost či jiný vztah mezi odběratelem a poskytovatelem služby (například jejich ekonomická provázanost). 5) Stupeň obtížnosti a času potřebného pro výběr alternativního poskytovatele služeb nebo na in house řešení. 6) Komplexnost outsourcingu. 7) Ochrana dat, bezpečnost a další rizika. 8) Rizika spojená se změnami a úpravami ve vztazích. 9) Rizika s ukončením kontraktu. 10) Riziko právní (zde typicky zastoupené smlouvou o outsourcingu). 52
11) Riziko nekvalitního projektového řízení ať již poskytovatele nebo odběratele. 12) Riziko chybné outsourcingové strategie. Problematika informačních a komunikačních technologií je z pohledu řízení rizik poměrně komplikovaná, proto uvádím k této problematice z pohledu řízení rizik další informace. V případě, že dochází k outsourcingu větších celků služeb nebo dokonce komplexního outsourcingu, je nutné vnímat i riziko, že odběratel může zhoršit svou schopnost plnit závazky vůči ostatním účastníkům na trhu a klientům. Což v neposlední míře může poškodit dobré jméno odběratele a dopad na celkový rizikový profil. Dále vzhledem ke stavu, kdy robustní zabezpečení informačních a komunikačních technologií je nezbytnou součástí všech služeb, je třeba vnímat i riziko spojené se ztrátou znalostního kapitálu při převodu realizace klíčových služeb na externí poskytovatele. Ze strany odboru informačních technologií by tedy mělo být snahou zajistit vhodné zabezpečení a odpovídající havarijní postupy. Všechny tyto mechanismy by měli odpovídat potřebám a velikosti odběratele. Všechny pohotovostní plány musí počítat s možností změny poskytovatele a případné ukončení spolupráce. Tento krok je třeba vnímat jako extrémní a velice nákladný, ale při vnímání jako posledního opatření je nutné jej mít zahrnutý do všech procesů BCM (business continuity management). Stejně tak je nutné tyto kroky zahrnout do vyjednávání a zahrnout tyto kroky do smlouvy o outsourcingu. Pro úplnost uvádím klíčová rizika o outsourcingu [OutRisk]: Pořadí Riziko outsourcingu IT
Četnost (%)
1.
Přílišná závislost na outsourcerovi
61,8
2.
Ztráta klíčových znalostí a kompetencí
36,6
3.
(Nedostatečná) kvalifikace personálu outsourcera 35,9
5.
Nejasný vztah mezi náklady a přínosy
30,7
6.
Skryté náklady kontraktu
29,4
7.
Bezpečnostní problémy
20,6
9.
Možná opozice vlastního personálu oddělení IS
7,2
10.
Neschopnost adaptace na nové technologie
6,2
OBRÁZEK 7 K LÍČOVÁ RIZIKA OUTSOURCINGU 53
5.1.4 Stanovisko odboru vnitřního auditu Stanovisko odboru vnitřní audit by mělo obsahovat kroky vedoucí k posouzení, jak je outsourcing využíván. Předmětem tohoto posouzení by mělo být zejména: 1) Zda je činnost dodávaná v rámci outsourcingu trvale vykonávána v souladu se všemi příslušnými právními předpisy a se smlouvami o outsourcingu. 2) Zda je poskytovatel outsourcingu nadále důvěryhodný a právně, finančně, odborně i technicky způsobilý k zajišťování outsourcovaných činností. 3) Zda poskytovatel outsourcingu pravidelně prověřuje funkčnost a dostatečnost svých mechanismů kontroly a řízení rizik. 4) Zda ochrana bankovního tajemství a osobních údajů klientů je zajištěna trvale a dostatečně. 5) Jsou dodržovány vnitřní zásady a postupy povinné osoby pro outsourcing. 6) Zda vnitřní kontrolní mechanismy povinné osoby zajišťující včasné zjištění případných nedostatků při využívání outsourcingu přijetí opatření k nápravě. 7) Celková funkčnost a efektivnost outsourcingu.
5.1.5 Stanovisko odboru compliance a informační technologie Stanoviska odboru complikace a informační technologie jsou si v tomto případě natolik blízká, že nemá význam je rozpracovávat do dvou odlišných pohledů. Cílem obou odborů je prověření poskytovatele outsourcingu. Zde by se mělo jednat zejména o problematiku: 1) Poskytovatel má licenci, pokud je k provozu a poskytování služeb vyžadována. 2) Je registrován v zemi svého sídla k provádění činností, které by měli být poskytovány, a pokud to vyžaduje právo země sídla poskytovatele outsourcingu, je nad ním vykonáván dohled příslušnými orgány. 3) Je důvěryhodný, finančně stabilní a právně, odborně i technicky způsobilý k zajišťování činností, která má být poskytována. Stanovisko by mělo obsahovat následující ujištění: 1) Poskytovatel outsourcingu zavedl alespoň takové postupy řízení rizik a kontrolní mechanismy, jaké by použil odběratel v souladu se svými zásadami pro řídící a kontrolní systém, pokud by činnost zajišťoval sám. 54
2) O tom, že bude docházet k posuzování využívání outsourcingu z hlediska odběratele (včetně definování kým a jak často), včetně posouzení outsourcovaných činností u poskytovatele outsourcingu. Toto posouzení je většinou realizované formou auditu, který realizuje přímo odběratel nebo jím určená osoba u poskytovatele. 3) Posouzení navrhované smlouvy o outsourcingu, tato smlouvy musí obsahovat především: a)
Dostatečný a určitý popis předmětu outsourcingu.
b)
Kvalitativní a kvantitativní požadavky na provádění poskytovaných služeb činností, práva a povinnosti smluvních stran.
c)
Povinnosti poskytovatele outsourcingu chránit důvěrné informace a informace, které jsou předmětem bankovního tajemství a ochrany osobních údajů.
d)
Povinnosti poskytovatele outsourcingu včas a dostatečně informovat odběratele o všech okolnostech, které by mohly mít negativní dopad na jeho schopnost řádně provádět poskytované činnosti a dalších významných relevantních okolnostech, například o vlastnických nebo jiných změnách na straně poskytovatele outsourcingu.
e)
Práva povinné osoby sledovat a kontrolovat outsourcované činnosti, pokud jde o jejich řádné provádění u poskytovatele outsourcingu a další práva a povinnosti smluvních stran k zajištění naplnění ostatních požadavků vyhlášky na využívání outsourcingu povinnou osobou.
5.1.6 Návaznost na CobiT Jak je patrné z kapitoly popisující metodiku CobiT a případně rámec ITIL, tak ze strany regulátora je snaha, aby řízení oblasti informačních a komunikačních technologií (na úrovni IT Governance), plně vyhovovalo metodice CobiT. Tento pohled preferuje i Česká národní banka při vykonávání dohledu na dálku i nablízko. Uvedené mechanismy dohledu jsou reálně vykonávány vůči celému regulovanému finančnímu sektoru v České republice. Navíc s ohledem na stále sílící tlaky ze strany nadnárodních regulátorů (u nás reprezentované pomocí BASEL II a aktivitami s tím spojenými) je pravděpodobné, že tyto tlaky budou stále sílit. Z pohledu korektního fungování jakéhokoliv finančního ústavu je doporučené použít
55
model zralosti minimální na úrovni 3, tak aby byly pokryty veškeré činnosti, které jsou nebo by měli v oblasti informačních a komunikačních systému realizovány.
5.2 Realizace auditu Jak bylo popsáno v předešlých kapitolách, audit je systematický proces, při kterém kompetentní a nezávislá osoba objektivně získává a hodnotí důkazy týkající se auditovaného subjektu za účelem vytvoření názoru a auditní zprávy o míře souladu těchto ujištění s definovanou množinou standardů. Realizace auditu velice úzce souvisí s využívanými službami od poskytovatele. Vzhledem k požadavku na schopnost realizace auditu na obdobné úrovni, jako by služby byly poskytovány interně, je možné se na audit dívat optikou interního auditu. Pro naše referenční potřeby je použit vztah z finančního sektoru, kdy jsou poskytovány formou outsourcingu následující služby: 1) Vývoj bankovního informačního systému 2) Provoz bankovního informačního systému v produkčním prostředí 3) Provoz bankovního informačního systému v testovacím prostředí 4) Umístění serverů a připojení k WAN síti 5) Zajištění provozu záložního produkčního prostředí 6) Zálohování a archivace bankovních dat 7) Výkonová optimalizace bankovního informačního systému 8) Monitorování bankovního informačního systému 9) Vedení dokumentace Bankovním informačním systémem je zajištěn chod všech bankovních procesů, včetně internetového bankovnictví. Audit by dále mohl být cílem přímo na odběratele, tak aby audit posoudil řídící a kontrolní systém zajišťující vyhodnocování kvality a bezpečnosti outsourcovaných služeb. Tento audit u finančních institucí probíhá pravidelně na roční bázi díky povinnosti realizovat ověření hospodaření finanční instituce. Součástí tohoto auditu je i ověření interních procesů, včetně využívaného outsourcingu (pokud je využíván). Všechny kroky, které jsou dále popsány, vycházejí z auditní metodiky popsané výše. Audit je dále realizován dle metodiky ISACA, zejména na úrovni metodické a technické. 56
Předmět auditu Předmětem referenčního auditu je obdoba auditu, který by měl být realizován regulátorem v případě provedení auditu dohledem nablízko (tedy na místě u finanční instituce). Pro naše potřeby je audit zúžen pouze na služby 1, která dává dostatečný pohled na realizaci auditu. A současně pokrývá komplexní potřeby, kladené na auditora. Pokud je audit prováděn na produkčním prostředí, jako je v tomto případě, je nutné pamatovat, že všechny kroky musí být realizovány tak, aby nedošlo k omezení nebo ohrožení úrovně poskytovaných služeb a uložených dat. Pokud je nutné realizovat kroky, které mohou toto porušit, je nutné celý proces konzultovat a nechat schválit objednatelem i poskytovatelem. Cíl auditu Referenční audit má za úkol především ukázat problematiku auditu a využívané postupy, není cílem realizovat komplexní a úplný audit uvedených služeb. Nicméně provedené kroky by měli ukázat, kterým směrem se audit realizuje, jaké podklady sbírá a popsat výsledné cíle. V reálné podobě by audit měl řešit problematiku kvality poskytovaných služeb (jak provozních, tak i vývojových) a bezpečnosti dat svěřených poskytovateli. Na straně poskytovatele se neřešení testování souladu s legislativou, ale testování věcné správnosti realizovaných činností.4 Rozsah auditu Vzhledem ke komplexnosti poskytovaných služeb ze strany je předpokladem, že na straně poskytovatele bude třeba k realizaci auditu zahrnut celý řídící a kontrolní systém. Audit se zde bude týkat poskytovaných služeb, je tedy do auditu zahrnout všechny systému, které se podílí na poskytování služeb. Na straně odběratele by se audit měl týkat především oblasti odboru informačních technologií, případně compliance. Ostatní odbory jsou dotčeny pouze okrajově a nepředpokládá se aktivní zapojení do implementace auditu. Předauditní plánování
4
Testování souladu má typicky za úkol průběžně provádět odbor Compliance, případně odbor Interního auditu.
57
V rámci auditu budou využity následující zdroje:
Dokumentace k interním procesům, které jsou předmětem outsourcingové smlouvy.
Přístup k informačním a komunikačním systémům, které jsou předmětem poskytované služby v outsourcingové smlouvě.
Pracovníci poskytovatele, kteří vykonávají činnosti spojené s objednanými službami. Může se jednat i o pracovníky, kteří vykonávají podpůrné procesy využívané objednanými službami.
Požadavky na součinnost je třeba sdělit poskytovateli s dostatečným předstihem tak, aby bylo možné na straně poskytovatele učinit kroky k přípravě požadavků. Auditní postupy a kroky pro shromažďování dat V prostředí existuje několik možností, jaké postupy se mohou zvolit při realizaci auditu. Základním postupem, který připadá v úvahu pro tento model auditu je posouzení politik a procedur informačních a komunikačních technologií s porovnáním využívaných standardů. Vlastní posouzení je prováděno posouzení dokumentace jednotlivých procesů a realizace interview s příslušnými zaměstnanci. Další možností, je pozorování procesů a výkonu zaměstnanců. To je ovšem poměrně kontroverzní metoda, jelikož při ní není zaručeno, že zaměstnanci reagují běžně, jako v případě kdy nejsou auditováni. V případě, že se jedná o rozsáhlou dokumentaci, je možné audit realizovat zaměřením se na konkrétní procesy. Toto omezení je však nutné stanovit v rozsahu auditu a odsouhlasit jej se zadavatelem auditu. Pokud rozsah auditu v sobě obsahuje i ověření technických a dalších prvků, je třeba jej realizovat dle požadavku. K tomu účelu existuje celá řada nástrojů, které mohou být využity. Tyto auditorské techniky se souhrnně nazývají CAATS (Computer Assisted Audit Techniques). Tyto metody se používají především u specializovaných auditů na ověření bezpečnosti, nebo pro podporu jinak identifikovaných důkazů. Je však vždy na auditorovi, aby reálně zhodnotil využití těchto nástrojů. Jejich použití většinou znamená významnou časovou dotaci pro realizaci těchto technik a pro vyhodnocení výsledků zvolených nástrojů. Procedury pro vyhodnocení testů a zhodnocení výsledků
58
Jednotlivé procedury pro vyhodnocení jsou značně závislé na použité metodě ke sběru auditních podkladů. V našem případě se typicky jedná o posouzení třech rovin zjištěných dat: 1) Vhodnosti využívaných standardů a jejich implementace. 2) Souladu používané dokumentace s využívanými standardy. 3) Souladu reálně identifikovaných činností a vlastností s používanou dokumentací. Jedná se o tři základní zjištění, které by při auditu měli být identifikovány a následně z nich vytvořena odpovídající auditní zpráva. Procedura pro komunikaci s vedením Komunikace s vedením během auditu je značně citlivou oblastí. Vždy záleží na rozsahu a typu auditu. Obecně platí, že veškeré informace, které jsou vedení sdělovány, musí být pravdivé a dostatečně ověřené. V našem případě, kdy cílem auditu je posouzení kvality služeb, je klíčové pro komunikaci s vedením předání výsledků auditu, tedy auditní zprávy. Pokud budou během auditu identifikovány zásadní bezpečnostní problémy, které mohou ohrozit základní bezpečnost dat nebo poskytovaných služeb, je vhodné toto sdělit vedení neprodleně. V takovém případě sdělení však musí být podpořené jednoznačnými důkazy o identifikovaných problémech. Tvorba auditní zprávy Auditní zpráva musí být konzistentní a úplná, cílem této zprávy je především sdělení o realizovaných činnostech, nalezených skutečnostech a oblastí, kde by měli být realizovány nápravná opatření. Auditní zpráva by dále měla obsahovat doporučení pro revizi ověřovaných dokumentů, politik a procedur, pokud není se zadavatelem auditu domluveno jinak.
5.2.1 Referenční audit Průběh auditu v případě využití konkrétní outsourcingové služby, kdy cílem je ověření pravidel a korektnosti úrovně poskytované služby by se měl skládat ze dvou základních částí: 1) Ověření dokumentace a její nastavení vůči standardním normám. 59
2) Ověření reálně vykonávaných činností vůči dokumentaci. Zaměříme se především na první část, ta je klíčová z pohledu nastavení smluvního vztahu a zajištění nástrojů pro dosahování úrovně smluvních vztahů. Chyby na úrovni nastavení procesů a poskytovaných služeb jsou značný systémový problém. Zejména pokud takto jsou nastaveny na úrovni outsourcingové smlouvy. V takovém případě je vhodné vyvolat změnové řízení této smlouvy. Pokud je identifikován rozpor mezi procesní a smluvní dokumentací, je třeba vzniklá nápravná opatření řešit dle pravidel nastavených v outsourcingové smlouvě. Druhou část je nutné realizovat, a v případě zjištění nesrovnalostí mezi dokumentací a reálně vykonávanými činnostmi, je vhodné zahájit nápravná opatření dle nastavených pravidel outsourcingovou smlouvou. Pro realizaci auditu je třeba ověřit následující oblasti, které poskytovatel pokrývá ve své činnosti: Název / oblast
Návaznost na ISO / IEC 200001:2006
Řízení dokumentace a záznamů
3.2 4.1, 4.2, 4.3, 4.4
PDCA cyklus ITSM Vývoj nových a zlepšování stávajících služeb Proces vytváření SLA
5 6.1, 6.2
Management kontinuity a dostupnosti služeb
6.3
Rozpočtování a účetnictví v ICT službách
6.4
Kapacitní plánování
6.5
Management bezpečnosti informací
6.6
Proces managementu obchodních vztahů
7.2
Proces managementu dodavatelů
7.3
Proces managementu incidentů
8.2
Proces managementu problémů
8.3
Proces managementu konfigurace
9.1
Proces managementu změn a uvolňování
9.2, 10.1
TABULKA 2 S EZNAM OBLASTÍ , KTERÉ MAJÍ BÝT POKRYTY DODAVATELEM
60
Jedná se o oblasti, které pokrývají celou oblast poskytování ICT služeb, jak oblast operativní, tak i procesy taktickou. Pro potřeby auditu je možné zaměřit se na komplexní pohled nebo pouze na oblast operativní, která je pro samotného odběratele důležitější. Uvedené oblasti mohou být typicky rozpadnuty do následujících směrnic. Jedná se o doporučenou minimální množinu: Identifikace směrnic
Účel směrnic
Příručka managementu ICT služeb
Tato příručka je základním dokumentem ITSM. Účelem této příručky je podat přehled odpovědností, procesů, směrnic a záznamů ITSM ve společnosti v oblasti managementu ICT služeb. Účelem
Zásady pro SLA
směrnice
je
definovat
postupy
pro
schvalování obchodních případů ve společnosti a povinnost vytvoření a schválení SLA – dohody o úrovni služeb u obchodních případů zahrnujících poskytování služeb. Účelem směrnice je shrnout postupy pro vytváření
Reportování
reportů ve společnosti. Účelem směrnice je shrnout zásady pro podávání
Zlepšování služeb
návrhů na zlepšení služeb a plánování a zavádění změněných služeb ve společnosti. Management
kontinuity
dostupnosti služeb
a Účelem směrnice je shrnout zásady pro vytváření a udržování plánů kontinuity a řízení dostupnosti služeb ve společnosti.
Rozpočtování a účtování pro IT Účelem služby
směrnice
je
shrnout
zásady
pro
rozpočtování a účetnictví v ICT službách ve společnosti.
Kapacitní plánování
Účelem směrnice je shrnout zásady pro plánování kapacit ve společnosti.
Management obchodních vztahů
Účelem směrnice je shrnout zásady při sledování a udržování
obchodní
vztahů
se
zákazníky
společnosti. Management dodavatelů
Účelem směrnice je shrnout zásady při řízení 61
dodavatelů a subdodavatelů společnosti. Včetně postupů při řešení sporů a pravidla delegování odpovědnosti. Incident management
Účelem směrnice je shrnout postupy pro sledování incidentů ve společnosti.
Problém management
Účelem
směrnice
je
shrnout
postupy
řízení
problémů ve společnosti. Včetně návaznosti na workflow řešení problémů. Management konfigurace
Účelem
směrnice
je
shrnout
postupy
pro
management konfigurace ve společnosti. Management změn
Účelem
směrnice
je
shrnout
zásady
pro
management změn v rámci systému ITSM ve společnosti. Směrnice popisuje vytváření požadavků na
změnu,
jejich
hodnocení,
schvalování,
implementaci a přezkoumávání. Přístup k hodnocení a zvládání rizik Účelem směrnice je shrnout zásady pro sestavování analýzy rizik a plánu zvládání rizik ve společnosti. Vývoj nové služby
Účelem směrnice je shrnout zásady pro vývoj nových služeb ve společnosti. Součástí je zejména postupy pro návrh, schválení a zavedení nové služby.
Zásady bezpečnosti informací
čelem směrnice je shrnout zásady pro sestavování analýzy rizik a plánu zvládání rizik ve společnosti. Součástí
jsou
typicky
dva
procesy:
přístup
k hodnocení a zvládání rizik, a zásady bezpečnosti informací. Release management
Účelem směrnice je shrnout zásady pro release management v rámci systému ITSM ve společnosti. Směrnice popisuje vytváření plánů release, jejich testování a nasazování do produkčního prostředí.
TABULKA 3 S EZNAM SMĚRNIC POSKYTOVATELE Další postup činnosti auditora by spočíval v postupné identifikaci jednotlivých směrnic a procesů v těchto směrnicích obsažených. 62
Jednou z klíčových směrnic je Management změn, jedná se o typickou oblast z operativní části. Pro názornost ukázka auditu této směrnice: Směrnice v typickém případě by měla obsahovat následující oblasti:
Procesní schéma změnového řízení
Definici rolí a odpovědností
Klasifikaci a prioritizaci změn
Podrobnou analýzu změny
Pravidla schválení změny
Tvorbu harmonogramu implementace změny
Posouzení dopadů změny
Řešení případných výjimek z autorizačního postupu
Analýzu trendů a jejich dopady
Postupy zlepšování služeb – návrhy, schválení, zavedení
Zhodnocení dopadů zlepšování služeb
Návaznost na vznik nových služeb – návrh, schválení, zavedení
Zhodnocení dopadů vzniku nových služeb
KPI pro hodnocení výkonosti procesů
Při auditu je vhodné ověřit shodu směrnice s běžnými praktikami v této oblasti a případné zásadní neshody řešit jako identifikované nesrovnalosti z auditu. V tomto případě může být jako vzorový využit proces Change Managementu z rámce ITIL. U každého procesu je dále nutné ověřit odpovědnosti za jednotlivé procesy popsané ve směrnici a technické prostředky využívané k naplnění procesů realizovaných ve směrnici. Pro posouzení korektnosti uvádím procesní model využívaný v auditované směrnici:
63
Podání požadavku na změnu
Zpráva navrhovateli
Podání požadavku na změnu
Zhodnocení přínosu změny
Zpráva navrhovateli
NE
Zamítnutí požadavku Zamítnutí požadavku
ANO Registrace RFC Registrace RFC
Prioritizace změny Prioritizace změny
Realizace požadavku na Realizace požadavku na změnu
Velmi závažná změna
Klasifikace změny
změnu
Opakující se změna Nepatrná změna
Realizace požadavku na Realizace požadavku na změnu změnu
Závažná změna Zpráva navrhovateli Zpráva navrhovateli
Analýza změny Analýza změny
Schválení změny
NE
ano
Bude součástí release?
ano
Vstup do procesu Release management
ne
Plán implementace změny Plán implementace změny
Testování změny Testování změny
Akceptace změny
NE
ANO Informování uživatelů Informování uživatelů
Implementace změny Implementace změny
Posouzení úspěšnosti implementace
neúspěšná
Aktivace roll back plánu Aktivace roll back plánu
úspěšná Ponechání změny v Ponechání změny v produkčním prostředí produkčním prostředí
Analýza trendů a jejich Analýza trendů a jejich dopadů dopadů
OBRÁZEK 8 UKÁZKOVÝ PROCES M ANAGEMENTU ZMĚN Na základě tohoto procesního schéma by měli být auditorem posouzeny všechny činnosti vedoucí k naplňování jednotlivých částí procesů managementu změn. Každá část procesu musí mít jasně definovaného vlastníka, který je odpovědný za realizaci dané oblasti. Auditor musí být schopen posoudit i návaznost všech procesu a částí procesů na kompletní kontext ostatních částí, dle kterých se poskytovatel řídí. Je tedy nutné zajistit kompatibilitu všech procesů a současně identifikovat potencionální nezmapovaná místa mezi samotnými procesy. 64
5.2.2 Certifikace poskytovatele ISO/IEC 20000-1:2006 Certifikace ISO/IEC 20000 je základní certifikací, kterou by jakýkoliv poskytovatel služeb v oblasti informačních a komunikačních technologií formou outsourcingu měl zvážit realizaci certifikace dle této normy. V modelovém příkladu byly popsány směrnice a část procesů, které by poskytovatel měl plnit, bez ohledu na danou certifikaci. Rozšíření o certifikaci je následně již pouze administrativní proces, jehož výstup je velice vhodný jak z obchodního, tak funkčního pohledu poskytovatele.
65
6 Závěr Outsourcing v bankovním sektoru je významnou oblastí z reálné praxe téměř všech finančních ústavů v České republice. Vzhledem k tomu, že celá tato oblast podléhá jasným pravidlům ze strany České národní banky, je třeba k outsourcingu přistupovat s odpovídajícím nastavením procesů. Jak jsem se snažil ukázat, tak díky značně komplexní problematice návrhu a realizace samotného outsourcingu, tak i audit outsourcingu je odpovídajícím způsobem náročný. Vnímání auditu je možné ze dvou zásadních pohledů, základní pohled je přímo ze strany odběratele outsourcovaných služeb na poskytovatele a to zejména v kontextu všech běžných pravidel, která pro audit platí. Druhý pohled, je pohled ze strany regulátora, kdy regulátor kontroluje jak finanční subjekt, který outsourcing využívá, tak i samotného poskytovatele outsourcovaných služeb. Důležitý pohled je především v motivaci jednotlivých typů auditů. Ze strany odběratele je primární motivací především efektivnost a bezpečnost poskytovaných služeb. Ze strany regulátora nejsou primární motivací obchodní zájmy (pokud nedochází při využití auditu k jiným nezákonným činnostem), ale především stabilita finančního sektoru a bezpečnost jednotlivých finančních poskytovatelů. Vyhláška č. 123/2007 Sb. (resp. BASEL II) klade na finanční ústavy poměrně silné požadavky stran řídícího a kontrolního systému. Tyto požadavky jsou ze strany České národní banky s ohledem na požadovanou stabilizaci trhu vyžadovány ve stále větší míře. Vetší finanční instituce, které působí na českém trhu, s naplněním těchto požadavků nemají významný problém. Téměř všechny jsou vlastněny zahraničním investorem, který na tyto instituce má podobné nároky při řízení procesů a dodržování standardů jako v případě České národní banky. Regulace obchodníků s cennými papíry podléhá také již několikrát zmiňované vyhlášce. Zde je však třeba říci, že tento trh je poměrně stabilizovaný a regulace nad tímto trhem je uplatňována dlouhodobě téměř se stejnými pravidly a dopady jako na bankovní sektor. Větším problém je regulace pro menší společnosti, které se uchylují k outsourcingu jako k jedné z možností, jak se vyhnout velkému vlastnímu zázemí (kdy oblast informačních a komunikačních systémů se přímo k outsourcingu nabízí). Většina těchto menších společností si však na první pohled neuvědomuje náročnost spojenou s řízením takto nastaveného 66
outsourcingového vztahu. Menšími společnostmi jsou zde míněny zejména družstevní záložny, které podléhají stejným pravidlům jako ostatní banky. Regulace pro tyto subjekty je nastavena dle vyhlášky na stejném půdorysu jako v případě bankovních subjektů. Od roku 2006, kdy se družstevní záložny staly regulované Českou národní bankou, jsou na tyto instituce kladeny další požadavky pro nastavení řízení procesů, bezpečnosti v oblasti informačních a komunikačních systémů i v oblasti řídícího a kontrolního systému. Tyto kroky postupně povedou k omezování činností menších subjektů a postupné unifikaci subjektů, které budou zvládat realizaci požadovaných činností, do velikosti, kdy budou zajištěny všechny běžné procesy pro řídící a kontrolní systém. Tyto činnosti jsou z pohledu stability finančního trhu velmi pozitivní. Ostatní regulované subjekty, jako jsou platební instituce nebo instituce elektronických peněz, teprve nyní vznikají (první z nich získali licenci v únoru 2011). U nich je již požadovaná úroveň řídícího a kontrolního systému nastavena na velikost, která odpovídá popsaným standardům. Cíl práce, tedy mapování požadavků na audit outsourcingu v bankovním prostředí, kdy jsem se snažil dát jednoznačně důraz především na požadavky legislativní a regulatorní, jsem řešil především z pohledu menších finančních subjektů, kterých jsou nyní na trhu desítky a tato problematika je pro ně jednou z klíčových v případě požadavků na další rozvoj a naplnění regulatorních požadavků. Je však třeba říci, že celá tato problematika nabývá značné komplexnosti při rozšiřování okruhu zájmu, který má audit pokrýt. Při identifikaci veškerých požadavků na realizaci outsourcingového vztahu jsem identifikoval několik
klíčových
činností,
které
je
nutné
realizovat
před
samotnou
realizací
outsourcingového vztahu. Základní činnost je zmapování požadavků odběratele, a připravit odpovídající strategii využití outsourcingů. Tato strategie je klíčovým dokumentem na straně finanční instituce, který by měl sloužit pro zvolení postupu a dalšího harmonogramu realizace outsourcingu. Součástí tohoto dokumentu je vyjádření všech odborů, kterým přísluší odpovídající řídící a kontrolní systém. Začlenění outsourcingu do prostředí a procesů finanční instituce je zásadní krok, který podléhá pravidlům nastaveným regulátorem tak, aby poskytované služby byly pokud možno maximálně korektní a umožňovali jasnou a přehlednou strukturu jednotlivých využívaných služeb. Záměry regulátora z tohoto pohledu jsou cílené na zajištění bezproblémového chodu finančních institucí a potažmo zajištění stabilizace finančního sektoru. 67
Při přípravě takto komplexních vztahů v bankovním prostředí, které mají charakter outsourcingu, doporučuji zaměřit se na několik aspektů, které povedou k efektivnější přípravě i fungování následného vztahu. Především základní nastavení strategických mechanismů pro řízení ICT procesů je klíčové pro správné zacílení definice využívaných služeb a jejich parametrů. Optimální postup je využití metodiky CobiT pro zajištění prostředí na straně odběratele, které určí potřeby a současně dá jednoznačný nástroj pro realizaci kontroly a auditu odebíraných služeb. Na straně poskytovatele je vhodné využití procesů založených na rámci ITIL, v případě poskytování těchto procesů pod normou ISO/IEC 20000-1:2006. Tato norma dává poskytovateli jednoznačnou záruku, že realizované služby jsou kompatibilní s požadavky většiny odběratelů a současně jejich vlastnosti budou vyhovovat požadavkům regulátora. Fungování podle této normy by se mělo být pro kvalitního poskytovatele standardem. Součástí této normy je jako podmnožina požadavků uvedena i norma ISO/IEC 27001:2005, tato certifikace tedy dává obchodním partnerům jasný signál o vnímání bezpečnosti dat a procesů, se kterými společnost pracuje. V případě realizace služeb, u nichž jsou data chráněna například bankovním tajemstvím, doporučuji jak odběrateli, tak i poskytovateli zvážit certifikaci dle normy ISO/IEC 27001:2005. K této certifikaci je třeba přistoupit u větší společností s dostatečným respektem, jedná se o certifikaci, která může znamenat značné úpravy již fungujících procesů ve společnosti. Při snaze identifikovat klíčové činnosti ve smluvní rovině outsourcingu mezi poskytovatelem a odběratelem doporučuji zacílit zaměření na řešení mezních a problémových oblastí. Typicky smlouva takovéhoto charakteru se připravuje především s ohledem na řešení problémových stavů. Přípravu smlouvy doporučuji nepodcenit a věnovat jí odpovídající pozornost, v okamžiku, kdy smlouva je uzavřena, tak její změny jsou vždy významně náročnější, než úprava smlouvy před podpisem. Vztah mezi poskytovatelem a odběratelem takto komplexní služby jako je outsourcing, je vždy dlouhodobý, uzavírání smlouvy na nižší dobu než dva roky je neefektivní. Připravit smluvní dokumentaci s odhadem požadavků za tři nebo pět let je značně komplikované, proto doporučuji do smlouvy zahrnout i opatření pro dobu budoucí a pravidla modifikace poskytovaných služeb.
68
Nedílnou součástí smlouvy musí být ustanovení týkajících se licencí a ochrany dat. To jsou dvě základní oblasti, které je nutné do smlouvy zahrnout. Pokud tam tyto oblasti nejsou, je to zásadní problém jak pro smluvní vztah, tak i pro regulátora. Základní pohled regulátora je takový, že všechny procesy a opatření se mají přizpůsobit velikosti regulovaného subjektu. Z osobní zkušenosti je však třeba říci, že existuje minimální velikost, se kterou může finanční subjekt splnit požadavky a pod tuto velikost finančního subjektu není rozumné zajišťovat chod finančního subjektu. Takto minimální struktura je popsána v páté kapitole. Regulátor se dále chová naprosto očekávaně, jako jakýkoliv jiný auditor, pouze s cílem zajistit bezpečný a legislativně korektní, nikoliv finančně efektivní provoz finančního ústavu.
69
7 Seznam použité literatury 7.1 Seznam použité literatury Bruckner, T. - Voříšek, J.: Outsourcing informačních systémů. Praha, EKOPRESS, 1998, ISBN 80-86119-07-6 Gonzalez, R., Gasco, J., Llopis, J. (2005): Information systems outsourcing risks: a study of large firms. Industrial Management and Data Systems, v 105, n 1, pp. 45-62, ISSN 0263-5577 IT Governance Institute. CobiT 4.1. IT Governance Institute. USA 2007. 213s. ISBN 1933284-72-2 IT Governance Institute. IT Assurance Guide: Using COBIT. IT Governance Institute. USA 2007. 213s. ISBN 1-933284-74-9
7.2 Zákonné předpisy a vyhlášky Zákon č. 87/1995 Sb. ze dne 20. dubna 1995, o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů Vyhláška č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry, ve znění vyhlášky č. 282/2008 Sb. a vyhlášky č. 380/2010 Sb.
7.3 Internetové zdroje IT Governance Institute. IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance
and
Control
Professionals
[online].
2010
[Citace.
2011-04-20]
http://www.isaca.org/Groups/Professional-English/it-audit-guidelines/Pages/profile.aspx
ITIL. 2011. ITIL. [Online] 2011. [Citace: 16. duben 2011.] http://www.itil.cz/index.php?id=982
70
Best practice – ITIL Seminar [online]. 2006 [Citace. 20. duben 2011]. Dostupný z WWW:
SystemOnLine [online]. 2007 [Citace. 18. duben 2011]. Dostupný z WWW: . CMM Quest [online]. 2008 [Citace. 20. duben 2011]. Dostupný z WWW:
71