Dříve než se rozhodnete pro ten správný standard Vladimír Jech Katedra informačních technologií Vysoká škola ekonomická Praha
[email protected] Abstrakt: V praxi se setkáváme s řadou standardů, které v různé míře souvisí s řízením IT. Vrcholový management firmy, mnohdy motivován vidinou využít certifikaci řízení IT k marketingovým účelům, požaduje zavedení toho či onoho standardu, pokud ale člověk není odborník na IT governance, těžko se v tom velkém množství různých standardů orientuje. Nevhodná volba standardu pro řízení IT vede ke zbytečným nákladům a frustraci. Který standard je ten správný pro vaši firmu? Klíčová slova: standard, IT governance, COBIT Abstract: Managers at the executive level often call for compliance and standardization of the corporate IT. They often look up to recognized standards and frameworks; however, navigating between all the sound names may not be easy. Wrong choice and trying to implement poorly selected IT governance standard or framework may lead to unnecessary costs and frustration. Which standard is the right one for you? Keywords standard, IT governance, COBIT
Jak se firmy ke standardům dostanou? Řízení informačních, komunikačních a výpočetních technologií a systémů (IS/ICT, dále jen zjednodušeně IT) prochází ve společnostech čtyřmi fázemi, které se liší podle přijatých pravidel a mírou jejich vyspělosti. U malých nebo začínajících společností je IT věnována minimální nebo jen okrajová pozornost. V tomto případě vedení společnosti považuje informační technologie a interní IT oddělení jen jako administrativní zázemí pro svoji činnost [CTK]. Oddělení zabývající se vývojem a podporou firemní informatiky plní požadavky uživatelů a nanejvýš periodicky reportuje skrze svého nejvyššího představitele top managementu své aktivity. Takto funguje úspěšně řada malých společností a nečiní jim to žádné komplikace. Když se ale společnost rozroste, v další fázi přichází intuitivní řízení. Manažeři ve vrcholových úrovních se začnou více zajímat o to, co jejich podřízení v odděleních informatiky dělají, často tomu ne příliš rozumí, ale snaží se zavádět různé metriky například v podobě časových snímků, kariérních plánů, osobních hodnocení, přehledů o projektech, apod. Pracovníci v IT jsou více nuceni zdůvodňovat proč požadují prostředky na to či ono. Třetí fáze v přístupu k řízení firemní informatiky je vývoj interních rámců, které jsou často založeny na postupném ad-hoc přejímání praxí prověřených praktik (tzv. „Best Practices“) a na doporučeních externích konzultantů nebo auditorů. Zavádějí se plány, zavádějí se různé nástroje na řízení IT jako například Help Desk, pomocí dotazníků a šetření mezi uživateli se sleduje zpětná vazba od příjemců služeb IT, sestavují se rozpočty a sleduje se jejich plnění, IT má svého zástupce v top managementu a tím pravidelnou účast na poradách vedení, apod. SYSTÉMOVÁ INTEGRACE 2/2010
99
Vladimír Jech
V poslední fázi nejde jen o to, aby top management věděl, co dělá jejich „záhadné“ oddělení, ale jde se dále. V této fázi je snaha řídit IT tak, aby byla maximalizována návratnost investic do IT projektů a minimalizovány související rizika. IT je vnímáno jako podpůrný nástroj pro dosažení konkurenční výhody, naplnění podnikové strategie, budoucí růst a zvýšení efektivnosti podniku [EVG]. Management se snaží zavést nějaký všeobecně akceptovaný standard nebo jejich kombinaci a případně dosáhnout i certifikace podle zvoleného standardu. IT je pak řízeno tak, aby zahrnovalo fázi plánování, implementace, monitorování a zlepšování. Standard v této fázi představuje nejen strukturovanou a praxí prověřenou předlohu s jasně definovanými a transparentními pravidly, ale i podklad pro tvorbu auditovatelného systému [SPA]. Bez standardů by práce auditora byla mnohem složitější.
Zdroj: autor Obrázek 1: Vývojová linie standardizace IT Důležité je zdůraznit, že standardy se používají nejen k hodnotovému řízení IT, tedy k dosažení toho, aby IT poskytovalo přidanou hodnotu, ale velmi často i za účelem řízení rizik, která IT přináší. Například datové sklady, ty jsou v současné době největším problémem pro bezpečnost a důvěrnost dat [HSI]. Mnohdy jsou plněny údaji z různých zdrojů ať už soukromých nebo vládních databází, důvěrných nebo veřejných, vnitrostátních nebo zahraničních – představme si datový sklad mezinárodní banky, zajistit důvěrnost v něm uložených dat není jednoduchá záležitost. Díky vysoké komplexitě problémů v IT je dnes řízení IT podle všeobecně uznávaných standardů rostoucí trend [PSB].
Z čeho lze vybírat? Mezi nejznámější standardy, normy, procesní rámce a metodiky (dále jen „standard“) pro řízení IT patří COBIT, ITIL, ISO/IEC 20000 a ISO/IEC 27000 [GSR]. Kromě těchto hlavních standardů se používají i méně známé, často úžeji specializované, jako například Val IT, INTOSAI, PRINCE 2 nebo PMBOK. Některé dnes používané standardy jako například Sarbanes-Oxley (SOX), Six Sigma, COSO, Balanced Scorecard a další určené pro řízení a měření výkonnosti nebo rizik organizace nebyly svými autory originálně určeny přímo pro řízení IT, ale díky dnešní provázanosti IT a businessu velmi často do IT zasahují. Důležité je nezapomenout, že do IT zasahují i různé právní normy. V České republice to jsou například zákon o ochraně osobních údajů, o elektronickém podpisu, některé paragrafy trestního zákoníku, atd. V mezinárodním prostředí, respektive u amerických společností stojí za zmínku například Patriot Act a HIPAA. Seznam často používaných standardů je uveden v tabulce 1.
100
SYSTÉMOVÁ INTEGRACE 2/2010
Dříve než se rozhodnete pro ten správný standard
Který standard vybrat? Jak je vidět, standardů je mnoho. Standardy se liší zejména ve svém rozsahu, tedy jestli se jedná spíše obecný standard nebo takový, který se věnuje detailům řízení jednotlivých procesů. Dále se standardy liší v tom, jestli jsou primárně zavedeny v IT nebo se do IT promítají z obecného podnikového řízení. Při výběru standardu je nutné se nejprve rozhodnout, jestli ho chceme použít pro řízení celého IT ve společnosti nebo jen vybrané části. Z těch komplexních rámců je velmi známý COBIT. COBIT je dnes jedním z nejrozšířenějších standardů v této oblasti [GSR] a zjednodušeně řečeno, jeho komplexnost spočívá v tom, že se snaží zabývat vším, co ve společnosti nějakým způsobem s IT souvisí. V COBITu se tedy setkáme jak například s definicí rizik internetového bankovnictví, popisem kontrol v rámci změnového řízení, tak i například s kontrolami týkajícími se zabezpečení chodu IT po personální stránce. COBIT je srozumitelný nástroj, pomocí kterého lze vrcholovým manažerům nemajícím hluboké zkušenosti s IT vysvětlit jak funguje podniková informatika a s tím související rizika. COBIT obsahuje i model vyspělosti (pravidla pro stanovení úrovně souladu se standardem). Dalším častým standardem je ISO/IEC 27000, který se používá všude tam, kde je třeba zavést systém pro řízení bezpečnosti informací. Tento standard je často používán společnostmi, které potřebují mít jistotu nebo potřebují někomu prokázat (partnerům, regulačním orgánům, atd.), že jimi zpracovávané informace a data jsou zpracovávány a uchovávány bezpečně. Potřebujeme-li řídit vybranou oblast v IT jako například dodávky software, řízení projektů, klientské centrum, Help Desk, a další, pak je vhodné se poohlédnout po specializovaném standardu, který se dané oblasti přímo věnuje. V oblasti řízení služeb a jejich podpory stojí za zmínku ITIL a ISO/ IEC 20000. Představme si řízení sofistikovaného klientského centra (Call Center) zahrnujícího systémy pro Incident Management a Problem Management – bez použití jednoho z těchto standardů by to bylo obtížné.
Zdroj: autor Obrázek 2: Kategorizace standardů podle míry jejich obecnosti a využití pro IT SYSTÉMOVÁ INTEGRACE 2/2010
101
Vladimír Jech
Projektovým managementem se zabývá například mezinárodní PMBOK nebo britský PRINCE 2, které bychom použili ve fázi implementace zmíněného klientského centra a jeho integrace s existujícími podnikovými procesy s systémy. Standardy projektového managementu se často používají v softwarových firmách či velkých finančních nebo bankovních institucích, kde je třeba mít nějaký řád v tom, jakým způsobem jsou nové projekty uváděny v život. Z těch dalších standardů věnujícím se konkrétním oblastem, standard Val IT poskytne odpověď na to, jestli investice do IT projektů jsou správné a jestli přináší požadovaný výnos. Pokud nás trápí bezpečnost elektronických transakcí, pak je vhodné zvážit HIPAA. Při vývoji software se můžeme setkat s ISO/ IEC 12207 a 15504. Do IT se promítají i některé standardy, které nejsou přímo určeny pro IT. Například zmíněné COBIT, ISO 27000 a Val IT jsou standardy vysloveně určené pro řízení IT a lze podle nich IT řídit samostatně. Naproti tomu Balanced Scorecard, Six Sigma, COSO, Sarbanes-Oxley jsou rámce, které bývají obvykle přijaty na obecné podnikové úrovni s tím, že je pak snaha jim v určitých oblastech podřídit i IT. Následující tabulka shrnuje diskutované standardy a vyznačuje, ve kterých oblastech je možné který využít. Tabulka 1: Kategorizace standardů podle oblasti využitelnosti (v rámci IT)
Balanced Scorecard COBIT COSO ERM HIPAA INTOSAI ISO 20000 ISO 27000 ISO 9000 ITIL PMBOK PRINCE 2 Sarbanes Oxley SIX SIGMA Val IT
řízení IT x x
audit
bezpečnost
řízení projektů
x x x
řízení rizik
x
x x x
x
x
x x x x x x x x
x x Zdroj: autor
Standardy a národní legislativa Standardy COBIT, ISO, ITIL jsou dnes už globální ve smyslu, že je používají firmy na celém světě. Jejich uvedení do praxe je ale do velké míry ovlivněno národní legislativou. Je nutné si uvědomit, že společnost v jedné zemi se díky globalizaci 102
SYSTÉMOVÁ INTEGRACE 2/2010
Dříve než se rozhodnete pro ten správný standard
mnohdy řídí legislativou ještě nějaké další země. Například osobní údaje smí certifikát k elektronickému podpisu obsahovat obvykle jen se svolením podepisující osoby, velké rozdíly v národních úpravách a praxi ale jsou ve formě svolení a je tedy otázkou, jakou právní úpravou se bude řídit společnost provozující certifikační autoritu v mezinárodním měřítku. Pokud je česká společnost vlastněna americkou, může se tak setkat například se zákony HIPAA, Patriot Act a Sarbanes-Oxley. Především se zákonem Sarbanes-Oxley si láme hlavu nejeden český manažer [JEC]. Za zmínku stojí nedávný případ, kdy americká justice se začala zajímat o okolnosti privatizace České spořitelny [SLO]. V praxi se setkáváme s tím, že zákony jednotlivých zemí se neshodují nebo mohou jít i proti sobě. Zatímco banka v USA má povinnost součinnosti s americkým finančním úřadem, lokální legislativa její evropské pobočce nedovolí poskytnout americkému finančnímu úřadu osobní údaje byť o účtech amerických rezidentů. Zatímco z České republiky lze uskutečnit bezhotovostní převod do USA z webové stránky elektronického bankovnictví, v USA kvůli stejné transakci musí převodce díky legislativě osobně do banky.
Rizika výběru Občas se stane, že vedení společnosti naplánuje implementaci nějakého standardu, například ISMS dle ISO 27000, protože je motivováno vidinou certifikace, která by umožnila lepší přístup k zakázkám. Po několika měsících se zjistí, že standardizace IT přináší mnohá omezení, která danou firmu příliš svazují a zavádění ISMS končí neúspěchem. ISO a COBIT jsou procesně orientované standardy zaměřené na kontroly, což nemusí být ten nejlepší model pro malé společnosti, butiky, společnosti s vysokým podílem znalostních pracovníků, apod. Například kontrola PO4.11 Segregation of Duties ve standardu COBIT hovoří o oddělení odpovědnosti. V praxi tak role programátora bývá neslučitelná s rolí testera a s rolí pracovníka, který migruje kód do produkčního prostředí. Takovéto oddělení rolí je přímo nutné zavést ve společnosti se stovkami nebo tisíci zaměstnanci, malá specializovaná firma s vysokou loajalitou vysoce kvalifikovaných znalostních pracovníků ale těžko bude zaměstnávat extra pracovníky jen kvůli oddělení rolí. Riziko výběru tedy spočívá v tom, že se firma rozhodne implementovat nějaký standard a pak vkládá obrovské úsilí do boje s auditorem a vysvětlování, že spousta standardních kontrol v jejím prostředí nemá smysl. Po roce-dvou pak firma dospěje k názoru, že dnes moderní COBIT nebo ISO je pro ni příliš svazující, příliš administrativní a že má výjimku na více kontrol než kolik má kontrol implementovaných.
Slovo na závěr Firmy ke standardizaci často přistupují na základě potřeby, která přichází buď ze strany businessu (standardizace jako marketingový nástroj) nebo ze strany řízení společnosti (potřeba mít IT pod kontrolou). Výběr vhodného standardu není lehký úkol, protože vyžaduje expertízu a samotná implementace hodně času a zdrojů., FRM
SYSTÉMOVÁ INTEGRACE 2/2010
103
Vladimír Jech
Tabulka 2: Často používané standardy, normy, procesní rámce a metodiky COBIT Control Objectives for Information and related Technology
-
ISO/IEC 27000
-
ITIL Information Technology Infrastructure Library
-
ISO/IEC 20000
-
komplexní rámec (set všeobecně přijatých pravidel nejlepší praxe, metrik, indikátorů a procesů) pro řízení a kontrolu IT cílem je tvorba systému kontrol pro řízení IT a maximalizace přínosu z použití IT procesně orientovaný (34 kapitol pro různé IT procesy) tvořený systémem kontrol (210 kontrol) ve čtyřech doménách: plánování a organizace, akvizice a implementace, dodání a podpora, monitorování a vyhodnocování IT vhodný a často používaný managementem pro řízení IT a auditory pro audit IT pomáhá v IT zodpovědět otázky: Děláme věci správně?, Děláme věci dobře? rámec pro zavedení a řízení systému informační bezpečnosti zaměřuje se především na ochranu osobních dat a interních informací obsahuje dvě oblasti: specifikace systému řízení informační bezpečnosti a pravidla nejlepší praxe pro informační bezpečnost (12 oblastí) cílem je zhodnocení rizik informační bezpečnosti a implementace patřičných kontrol - obsahuje koncept kontinuálního vyhodnocování a zlepšování (přístup Plan-Do-Check-Act) definuje procesy pro řízení a dodávky IT služeb a jejich podporu (pro ilustraci, IT službou se rozumí například systém zabezpečující call centrum) zaměřeno na tvorbu strategie, design, implementaci, provoz a kontinuální zlepšování služeb - vhodný standard jako výchozí bod na cestě k ISO 20000 certifikaci zaměřeno na management IT služeb důraz na kvalitu služeb poskytovaných IT systémy, které mají dopad na vztah společnosti se zákazníkem obsahuje dvě oblasti: specifikace systému řízení služeb a pravidla nejlepší praxe pro dodávky služeb a jejich podporu standard ve stejné oblasti jako ITIL, ale komplexnější a obsáhlejší - zahrnuje: rozsah, plánování, implementace, změnové řízení, dodávky, řízení vztahu, kontrolní procesy, řešení problémů, proces spouštění
-
104
SYSTÉMOVÁ INTEGRACE 2/2010
Dříve než se rozhodnete pro ten správný standard
Val IT
-
INTOSAI International Organization of Supreme Audit Institutions COSO ERM Enterprise Risk Management
-
Balanced Scorecard
-
PRINCE 2 PRojects IN Controlled Environments
PMBOK Project Management Body of Knowledge
-
rámec pro řízení investic do IT a jejich návratnosti rozšiřuje a doplňuje COBIT přibližuje procesy definované v COBITu k procesům na úrovni senior managementu organizovaný do tří domén: budování hodnoty, portfolio management, řízení investic - pomáhá v IT zodpovědět otázky: Děláme správné věci?, Přináší investice do IT požadovaný přínos? principy a návody pro audit ve veřejném sektoru určeno primárně pro finanční auditory obsahuje etický kodex auditora - dívá se na IT jako na službu zpracovávající informace a cílem je prověření interních kontrol aplikací zaměřeno na identifikaci událostí a efektivní řízení rizik obecný standard pro řízení rizik aplikovaný mimo jiné i na IT zabývá se aktivitami na všech úrovních organizace: společnost, divize, oddělení cíle jsou stanovovány ve čtyřech kategoriích: strategické, provozní (efektivní využití zdrojů), reporting, compliance - zahrnuje: popis prostředí, stanovení cílů, identifikace událostí, ohodnocení rizik, odpověď na rizika, kontrolní aktivity, informace a komunikace, monitorování systém měření a řízení výkonnosti organizace obecná manažerský metoda používaná často i pro řízení IT (sledování výkonnosti) převádí cíle do specifických úkolů, měřítek a ukazatelů - sleduje finanční ukazatele (finance), hodnocení služeb jejich příjemcem (zákazník), podnikové procesy a proces učení se a zlepšování standard pro projektový management procesně orientovaný, strukturovaný, pravidla nejlepší praxe primárně zaměřeno na projekty ve státní správě věnuje se řízení, controllingu, supervizi, designu a organizaci projektu - popisuje jak v projektu koordinovat účastníky a aktivity standard pro projektový management procesně orientovaný standard popisuje procesy v 5 skupinách: inicializace, plánování, exekuce, kontrola a monitorování a hodnocení projektu zabývá se: integrace projektu, definice rozsahu, time management, náklady, kvalita, lidské zdroje, komunikace, rizika, řízení dodávek - často používáno při tvorbě software, ve stavebnictví, strojírenství, finančním sektoru
SYSTÉMOVÁ INTEGRACE 2/2010
105
Vladimír Jech
SarbanesOxley
-
HIPAA Health Insurance Portability and Accountability Act
-
zavádí povinnost manažerů a auditorů vyjádřit se k interním kontrolním systémům protože realizace rizika v IT může mít velký dopad na finanční výsledky společnosti, finanční auditoři posuzují i kontrolní systémy v IT obecný rámec původně zamýšlený pro potlačení hospodářské kriminality, díky své obecnosti a provázanosti IT a finančních výsledků podniku se ale vztahuje i na IT - povinný pro společnosti kotované na americkém akciovém trhu, v praxi ale často díky vlastnickým vztahům dopadá i na společnosti mimo USA upravuje ochranu osobních údajů ve zdravotnictví zabývá se bezpečností osobních údajů při zpracování dat a elektronických transakcích standard sice primárně zaměřen na zdravotnictví, ale v praxi se využívá pro ochranu dat i v jiných odvětvích, například pojišťovnictví a bankovnictví - vyžaduje opatření ve třech oblastech: administrativní ochrana, fyzické zabezpečení, technická opatření
Doporučená literatura: [GSR] IT Governance Global Status Report 2008, IT Governance Institute, www.itgi.org. [EVG] An Executive View of IT Governance, IT Governance Institute, www.itgi.org. [HSI] Hsinchun Chen a kol.: Terrorism Informatics: Knowledge Management and Data Mining for Homeland Security. Springer, 2008, ISBN 0387716122, strana 199. http://books.google.com/books?id=feoqhcd8bnkC&pg=PA199&lpg=PA199&dq=patr iot+act+informatics&source=bl&ots=Ps6EFTgeNa&sig=8qHtNvsiebSJLjiWW mqu1tD6xXw&hl=en&ei=W7y8Sq6IDMaPsAaG7JmtCw&sa=X&oi=book_res ult&ct=result&resnum=7#v=onepage&q=&f=false [JEC] Jech V: Působnost zákona Sarbanes-Oxley za hranicemi USA. Komora auditorů České republiky, Auditor č. 7/2005. [SLO] Slonková S., Junek A.: FBI začala zkoumat úplatky při privatizaci spořitelny, 24.11.2009, http://aktualne.centrum.cz/domaci/kauzy/clanek.phtml?id=653794 [CTK] technologie mění trh, firmy se cítí ohroženy, http://www.financninoviny.cz/podnikatele/zpravy/informacni-technologiemeni-trh-firmy-se-citi-ohrozeny/410321 [PSB] Průzkum stavu informační bezpečnosti v ČR 2007, Ernst & Young, NBÚ, DSM – data security management, 2007, ISBN 978-80-86813-13-4 [SPA] Spafford G.: The Benefits of Standard IT Governance Frameworks, Datamation, 22. 4. 2003, http://itmanagement.earthweb.com/netsys/article.php/2195051
106
SYSTÉMOVÁ INTEGRACE 2/2010