Středoevropské centrum pro finance a management

2010-11-01

Dříve než se rozhodnete pro ten správný standard

V praxi se setkáváme s řadou standardů, které v různé míře souvisí s řízením IT. Vrcholový management firmy, mnohdy motivován vidinou využít certifikaci řízení IT k marketingovým účelům, požaduje zavedení toho či onoho standardu, pokud ale člověk není odborník na IT governance, těžko se v tom velkém množství různých standardů orientuje. Nevhodná volba standardu pro řízení IT vede ke zbytečným nákladům a frustraci. Který standard je ten správný pro vaši firmu?

Řízení informačních, komunikačních a výpočetních technologií a systémů (IS/ICT, dále jen zjednodušeně IT) prochází ve společnostech čtyřmi fázemi, které se liší podle přijatých pravidel a mírou jejich vyspělosti.

U malých nebo začínajících společností je IT věnována minimální nebo jen okrajová pozornost. V tomto případě vedení společnosti považuje informační technologie a interní IT oddělení jen jako administrativní zázemí pro svoji činnost [CTK]. Oddělení zabývající se vývojem a podporou firemní informatiky plní požadavky uživatelů a nanejvýš periodicky reportuje skrze svého nejvyššího představitele top managementu své aktivity. Takto funguje úspěšně řada malých společností a nečiní jim to žádné komplikace.

Když se ale společnost rozroste, v další fázi přichází intuitivní řízení. Manažeři ve vrcholových úrovních se začnou více zajímat o to, co jejich podřízení v odděleních informatiky dělají, často tomu ne příliš rozumí, ale snaží se zavádět různé metriky například v podobě časových snímků, kariérních plánů, osobních hodnocení, přehledů o projektech, apod. Pracovníci v IT jsou více nuceni zdůvodňovat proč požadují prostředky na to či ono.

Třetí fáze v přístupu k řízení firemní informatiky je vývoj interních rámců, které jsou často založeny na postupném ad hoc přejímání praxí prověřených praktik (tzv. „Best Practices“) a na doporučeních externích konzultantů nebo auditorů. Zavádějí se plány, zavádějí se různé nástroje na řízení IT jako například Help Desk, pomocí dotazníků a šetření mezi uživateli se sleduje zpětná vazba od příjemců služeb IT, sestavují se rozpočty a sleduje se jejich plnění, IT má svého zástupce v top managementu a tím pravidelnou účast na poradách vedení, apod.

V poslední fázi nejde jen o to, aby top management věděl, co dělá jejich „záhadné“ oddělení, ale jde se dále. V této fázi je snaha řídit IT tak, aby byla maximalizována návratnost investic do IT projektů a minimalizovány související rizika. IT je vnímáno jako podpůrný nástroj pro dosažení konkurenční výhody, naplnění podnikové strategie, budoucí růst a zvýšení efektivnosti podniku [EVG]. Management se snaží zavést nějaký všeobecně akceptovaný standard nebo jejich kombinaci a případně dosáhnout i certifikace podle zvoleného standardu. IT je pak řízeno tak, aby zahrnovalo fázi plánování, implementace, monitorování a zlepšování.

Standard v této fázi představuje nejen strukturovanou a praxí prověřenou předlohu s jasně definovanými a transparentními pravidly, ale i podklad pro tvorbu auditovatelného systému [SPA]. Bez standardů by práce auditora byla mnohem složitější.

Vývojová linie standardizace IT
Obrázek 1: Vývojová linie standardizace IT. Zdroj: autor.

Důležité je zdůraznit, že standardy se používají nejen k hodnotovému řízení IT, tedy k dosažení toho, aby IT poskytovalo přidanou hodnotu, ale velmi často i za účelem řízení rizik, která IT přináší. Například datové sklady, ty jsou v současné době největším problémem pro bezpečnost a důvěrnost dat [HSI]. Mnohdy jsou plněny údaji z různých zdrojů ať už soukromých nebo vládních databází, důvěrných nebo veřejných, vnitrostátních nebo zahraničních – představme si datový sklad mezinárodní banky, zajistit důvěrnost v něm uložených dat není jednoduchá záležitost. Díky vysoké komplexitě problémů v IT je dnes řízení IT podle všeobecně uznávaných standardů rostoucí trend [PSB].

Z čeho lze vybírat?

Mezi nejznámější standardy, normy, procesní rámce a metodiky (dále jen „standard“) pro řízení IT patří COBIT, ITIL, ISO 20000 a ISO 27000 [GSR]. Kromě těchto hlavních standardů se používají i méně známé, často úžeji specializované, jako například Val IT, INTOSAI, PRINCE 2 nebo PMBOK. Některé dnes používané standardy jako například Sarbanes-Oxley (SOX), Six Sigma, COSO, Balanced Scorecard a další určené pro řízení a měření výkonnosti nebo rizik organizace nebyly svými autory originálně určeny přímo pro řízení IT, ale díky dnešní provázanosti IT a businessu velmi často do IT zasahují. Důležité je nezapomenout, že do IT zasahují i různé právní normy. V České republice to jsou například zákon o ochraně osobních údajů, o elektronickém podpisu, některé paragrafy trestního zákoníku, atd. V mezinárodním prostředí, respektive u amerických společností stojí za zmínku například Patriot Act a HIPAA. Seznam často používaných standardů je uveden v tabulce 1.

Který standard vybrat?

Jak je vidět, standardů je mnoho. Standardy se liší zejména ve svém rozsahu, tedy jestli se jedná spíše obecný standard nebo takový, který se věnuje detailům řízení jednotlivých procesů. Dále se standardy liší v tom, jestli jsou primárně zavedeny v IT nebo se do IT promítají z obecného podnikového řízení. Při výběru standardu je nutné se nejprve rozhodnout, jestli ho chceme použít pro řízení celého IT ve společnosti nebo jen vybrané části.

Kategorizace standardů podle míry jejich obecnosti a využití pro IT
Obrázek 2: Kategorizace standardů podle míry jejich obecnosti a využití pro IT. Zdroj: autor.

Z těch komplexních rámců je velmi známý COBIT. COBIT je dnes jedním z nejrozšířenějších standardů v této oblasti [GSR] a zjednodušeně řečeno, jeho komplexnost spočívá v tom, že se snaží zabývat vším, co ve společnosti nějakým způsobem s IT souvisí. V COBITu se tedy setkáme jak například s definicí rizik internetového bankovnictví, popisem kontrol v rámci změnového řízení, tak i například s kontrolami týkajícími se zabezpečení chodu IT po personální stránce. COBIT je srozumitelný nástroj, pomocí kterého lze vrcholovým manažerům nemajícím hluboké zkušenosti s IT vysvětlit jak funguje podniková informatika a s tím související rizika. COBIT obsahuje i model vyspělosti (pravidla pro stanovení úrovně souladu se standardem).

Dalším častým standardem je ISO/IEC 27000, který se používá všude tam, kde je třeba zavést systém pro řízení bezpečnosti informací. Tento standard je často používán společnostmi, které potřebují mít jistotu nebo potřebují někomu prokázat (partnerům, regulačním orgánům, atd.), že jimi zpracovávané informace a data jsou zpracovávány a uchovávány bezpečně.

Potřebujeme-li řídit vybranou oblast v IT jako například dodávky software, řízení projektů, klientské centrum, Help Desk, a další, pak je vhodné se poohlédnout po specializovaném standardu, který se dané oblasti přímo věnuje. V oblasti řízení služeb a jejich podpory stojí za zmínku ITIL a ISO 20000. Představme si řízení sofistikovaného klientského centra (Call Center) zahrnujícího systémy pro Incident Management a Problem Management – bez použití jednoho z těchto standardů by to bylo obtížné.

Projektovým managementem se zabývá například mezinárodní PMBOK nebo britský PRINCE 2, které bychom použili ve fázi implementace zmíněného klientského centra a jeho integrace s existujícími podnikovými procesy s systémy. Standardy projektového managementu se často používají v softwarových firmách či velkých finančních nebo bankovních institucích, kde je třeba mít nějaký řád v tom, jakým způsobem jsou nové projekty uváděny v život.

Z těch dalších standardů věnujícím se konkrétním oblastem, standard Val IT poskytne odpověď na to, jestli investice do IT projektů jsou správné a jestli přináší požadovaný výnos. Pokud nás trápí bezpečnost elektronických transakcí, pak je vhodné zvážit HIPAA. Při vývoji software se můžeme setkat s ISO 12207 a 15504.

Do IT se promítají i některé standardy, které nejsou přímo určeny pro IT. Například zmíněné COBIT, ISO 27000 a Val IT jsou standardy vysloveně určené pro řízení IT a lze podle nich IT řídit samostatně. Naproti tomu Balanced Scorecard, Six Sigma, COSO, Sarbanes-Oxley jsou rámce, které bývají obvykle přijaty na obecné podnikové úrovni s tím, že je pak snaha jim v určitých oblastech podřídit i IT.

Následující tabulka shrnuje diskutované standardy a vyznačuje, ve kterých oblastech je možné který využít.

Tabulka 1: Kategorizace standardů podle oblasti využitelnosti (v rámci IT)
  řízení IT audit bezpečnost řízení projektů řízení rizik
Balanced Scorecardx
COBITxx x
COSO ERM x
HIPAA xx x
INTOSAI x
ISO 20000x
ISO 27000 x x
ISO 9000x
ITILx
PMBOK x
PRINCE 2 x
Sarbanes-Oxleyx x
SIX SIGMAx x
Val ITx
Zdroj: autor

Standardy a národní legislativa

Standardy COBIT, ISO, ITIL jsou dnes už globální ve smyslu, že je používají firmy na celém světě. Jejich uvedení do praxe je ale do velké míry ovlivněno národní legislativou. Je nutné si uvědomit, že společnost v jedné zemi se díky globalizaci mnohdy řídí legislativou ještě nějaké další země. Například osobní údaje smí certifikát k elektronickému podpisu obsahovat obvykle jen se svolením podepisující osoby, velké rozdíly v národních úpravách a praxi ale jsou ve formě svolení a je tedy otázkou, jakou právní úpravou se bude řídit společnost provozující certifikační autoritu v mezinárodním měřítku. Pokud je česká společnost vlastněna americkou, může se tak setkat například se zákony HIPAA, Patriot Act a Sarbanes-Oxley. Především se zákonem Sarbanes-Oxley si láme hlavu nejeden český manažer [JEC]. Za zmínku stojí nedávný případ, kdy americká justice se začala zajímat o okolnosti privatizace České spořitelny [SLO].

V praxi se setkáváme s tím, že zákony jednotlivých zemí se neshodují nebo mohou jít i proti sobě. Zatímco banka v USA má povinnost součinnosti s americkým finančním úřadem, lokální legislativa její evropské pobočce nedovolí poskytnout americkému finančnímu úřadu osobní údaje byť o účtech amerických rezidentů. Zatímco z České republiky lze uskutečnit bezhotovostní převod do USA z webové stránky elektronického bankovnictví, v USA kvůli stejné transakci musí převodce díky legislativě osobně do banky.

Rizika výběru

Občas se stane, že vedení společnosti naplánuje implementaci nějakého standardu, například ISMS dle ISO 27000, protože je motivováno vidinou certifikace, která by umožnila lepší přístup k zakázkám. Po několika měsících se zjistí, že standardizace IT přináší mnohá omezení, která danou firmu příliš svazují a zavádění ISMS končí neúspěchem. ISO a COBIT jsou procesně orientované standardy zaměřené na kontroly, což nemusí být ten nejlepší model pro malé společnosti, butiky, společnosti s vysokým podílem znalostních pracovníků, apod. Například kontrola PO4.11 Segregation of Duties ve standardu COBIT hovoří o oddělení odpovědnosti. V praxi tak role programátora bývá neslučitelná s rolí testera a s rolí pracovníka, který migruje kód do produkčního prostředí. Takovéto oddělení rolí je přímo nutné zavést ve společnosti se stovkami nebo tisíci zaměstnanci, malá specializovaná firma s vysokou loajalitou vysoce kvalifikovaných znalostních pracovníků ale těžko bude zaměstnávat extra pracovníky jen kvůli oddělení rolí.

Riziko výběru tedy spočívá v tom, že se firma rozhodne implementovat nějaký standard a pak vkládá obrovské úsilí do boje s auditorem a vysvětlování, že spousta standardních kontrol v jejím prostředí nemá smysl. Po roce-dvou pak firma dospěje k názoru, že dnes moderní COBIT nebo ISO je pro ni příliš svazující, příliš administrativní a že má výjimku na více kontrol než kolik má kontrol implementovaných.

Slovo na závěr

Firmy ke standardizaci často přistupují na základě potřeby, která přichází buď ze strany businessu (standardizace jako marketingový nástroj) nebo ze strany řízení společnosti (potřeba mít IT pod kontrolou). Výběr vhodného standardu není lehký úkol, protože vyžaduje expertízu a samotná implementace hodně času a zdrojů.

Tabulka 2: Často používané standardy, normy, procesní rámce a metodiky
COBIT
Control Objectives for Information and related Technology
- komplexní rámec (set všeobecně přijatých pravidel nejlepší praxe, metrik, indikátorů a procesů) pro řízení a kontrolu IT
- cílem je tvorba systému kontrol pro řízení IT a maximalizace přínosu z použití IT - procesně orientovaný (34 kapitol pro různé IT procesy) - tvořený systémem kontrol (210 kontrol) ve čtyřech doménách: plánování a organizace, akvizice a implementace, dodání a podpora, monitorování a vyhodnocování IT - vhodný a často používaný managementem pro řízení IT a auditory pro audit IT - pomáhá v IT zodpovědět otázky: Děláme věci správně?, Děláme věci dobře?
ISO/IEC 27000 - rámec pro zavedení a řízení systému informační bezpečnosti
- zaměřuje se především na ochranu osobních dat a interních informací - obsahuje dvě oblasti: specifikace systému řízení informační bezpečnosti a pravidla nejlepší praxe pro informační bezpečnost (12 oblastí) - cílem je zhodnocení rizik informační bezpečnosti a implementace patřičných kontrol - obsahuje koncept kontinuálního vyhodnocování a zlepšování (přístup Plan-Do-Check-Act)
ITIL
Information Technology Infrastructure Library
- definuje procesy pro řízení a dodávky IT služeb a jejich podporu (pro ilustraci, IT službou se rozumí například systém zabezpečující call centrum)
- zaměřeno na tvorbu strategie, design, implementaci, provoz a kontinuální zlepšování služeb - vhodný standard jako výchozí bod na cestě k ISO 20000 certifikaci
ISO/IEC 20000 - zaměřeno na management IT služeb
- důraz na kvalitu služeb poskytovaných IT systémy, které mají dopad na vztah společnosti se zákazníkem - obsahuje dvě oblasti: specifikace systému řízení služeb a pravidla nejlepší praxe pro dodávky služeb a jejich podporu - standard ve stejné oblasti jako ITIL, ale komplexnější a obsáhlejší - zahrnuje: rozsah, plánování, implementace, změnové řízení, dodávky, řízení vztahu, kontrolní procesy, řešení problémů, proces spouštění
Val IT - rámec pro řízení investic do IT a jejich návratnosti
- rozšiřuje a doplňuje COBIT - přibližuje procesy definované v COBITu k procesům na úrovni senior managementu - organizovaný do tří domén: budování hodnoty, portfolio management, řízení investic - pomáhá v IT zodpovědět otázky: Děláme správné věci?, Přináší investice do IT požadovaný přínos?
INTOSAI
International Organization of Supreme Audit Institutions
- principy a návody pro audit ve veřejném sektoru
- určeno primárně pro finanční auditory - obsahuje etický kodex auditora - dívá se na IT jako na službu zpracovávající informace a cílem je prověření interních kontrol aplikací
COSO ERM
Enterprise Risk Management
- zaměřeno na identifikaci událostí a efektivní řízení rizik
- obecný standard pro řízení rizik aplikovaný mimo jiné i na IT - zabývá se aktivitami na všech úrovních organizace: společnost, divize, oddělení - cíle jsou stanovovány ve čtyřech kategoriích: strategické, provozní (efektivní využití zdrojů), reporting, compliance - zahrnuje: popis prostředí, stanovení cílů, identifikace událostí, ohodnocení rizik, odpověď na rizika, kontrolní aktivity, informace a komunikace, monitorování
Balanced Scorecard - systém měření a řízení výkonnosti organizace
- obecná manažerský metoda používaná často i pro řízení IT (sledování výkonnosti) - převádí cíle do specifických úkolů, měřítek a ukazatelů - sleduje finanční ukazatele (finance), hodnocení služeb jejich příjemcem (zákazník), podnikové procesy a proces učení se a zlepšování
PRINCE 2
PRojects IN Controlled Environments
- standard pro projektový management
- procesně orientovaný, strukturovaný, pravidla nejlepší praxe - primárně zaměřeno na projekty ve státní správě - věnuje se řízení, controllingu, supervizi, designu a organizaci projektu - popisuje jak v projektu koordinovat účastníky a aktivity
PMBOK
Project Management Body of Knowledge
- standard pro projektový management
- procesně orientovaný standard - popisuje procesy v 5 skupinách: inicializace, plánování, exekuce, kontrola a monitorování a hodnocení projektu - zabývá se: integrace projektu, definice rozsahu, time management, náklady, kvalita, lidské zdroje, komunikace, rizika, řízení dodávek - často používáno při tvorbě software, ve stavebnictví, strojírenství, finančním sektoru
Sarbanes-Oxley - zavádí povinnost manažerů a auditorů vyjádřit se k interním kontrolním systémům
- protože realizace rizika v IT může mít velký dopad na finanční výsledky společnosti, finanční auditoři posuzují i kontrolní systémy v IT - obecný rámec původně zamýšlený pro potlačení hospodářské kriminality, díky své obecnosti a provázanosti IT a finančních výsledků podniku se ale vztahuje i na IT - povinný pro společnosti kotované na americkém akciovém trhu, v praxi ale často díky vlastnickým vztahům dopadá i na společnosti mimo USA
HIPAA
Health Insurance Portability and Accountability Act
- upravuje ochranu osobních údajů ve zdravotnictví
- zabývá se bezpečností osobních údajů při zpracování dat a elektronických transakcích - standard sice primárně zaměřen na zdravotnictví, ale v praxi se využívá pro ochranu dat i v jiných odvětvích, například pojišťovnictví a bankovnictví - vyžaduje opatření ve třech oblastech: administrativní ochrana, fyzické zabezpečení, technická opatření

 

Ing. Vladimír Jech, MBA, FRM
Diskuzní fórum:
Dukiszín fmóur:
Diskuzi k tomuto článku najdete dále na této stránce (pod zobrazením doporučených zdrojů).
Doporučené zdroje informací:
Depéurčono zjpdre ifnoírcma:
  • [GSR] IT Governance Global Status Report 2008, IT Governance Institute, www.itgi.org.
  • [EVG] An Executive View of IT Governance, IT Governance Institute, www.itgi.org.
  • [HSI] Hsinchun Chen a kol.: Terrorism Informatics: Knowledge Management and Data Mining for Homeland Security. Springer, 2008, ISBN 0387716122, strana 199.
  • [JEC] Jech V: Působnost zákona Sarbanes-Oxley za hranicemi USA. Komora auditorů České republiky, Auditor č. 7/2005.
  • [SLO] Slonková S., Junek A.: FBI začala zkoumat úplatky při privatizaci spořitelny, 24.11.2009, http://aktualne.centrum.cz/domaci/kauzy/clanek.phtml?id=653794
  • [CTK] ČTK: Informační technologie mění trh, firmy se cítí ohroženy, http://www.financninoviny.cz/podnikatele/zpravy/informacni-technologie-meni-trh-firmy-se-citi-ohrozeny/410321
  • [PSB] Průzkum stavu informační bezpečnosti v ČR 2007, Ernst & Young, NBÚ, DSM – data security management, 2007, ISBN 978-80-86813-13-4
  • [SPA] Spafford G.: The Benefits of Standard IT Governance Frameworks, Datamation, 22. 4. 2003, http://itmanagement.earthweb.com/netsys/article.php/2195051

Máte odbornou práci, studii nebo analýzu, o kterou byste se s námi rádi podělili? Chybí něco na těchto stránkách? Napište nám.

Nejsledovanější knihy:   
Nejsledovanější knihy:   
Ekonomie
Holman Robert
(Sledovanost: 113)
Introduction to Financial Accounting
Charles T. Horngren, Gary L. Sundem, John A. Elliott, Donna Philbrick
(Sledovanost: 106)
Marketing
Boučková Jana, a kol.
(Sledovanost: 106)
Corporate Finance
Stephen A. Ross, Randolph W Westerfield, Jeffrey Jaffe
(Sledovanost: 100)
(Sledovanost: 100)

Diskuzní fórum

Středoevropské centrum pro finance a management podporuje veřejnou diskuzi týkající se různých ekonomických i společenských témat.

Diskuze na těchto stránkách je neredigovaná a nemoderovaná. V zájmu zachování vysoké úrovně diskuze i tohoto servru je však administrátor fóra oprávněn konat patřičné kroky, aby bylo zabráněno projevům rasové, národnostní, náboženské nebo jinak nepřípustné diskriminace. Administrátor je rovněž oprávněn zasahovat, pokud objeví v diskuzích vulgární nebo jinak nepřístojné projevy.

Středoevropské centrum pro finance a management nenese žádnou faktickou ani implicitní odpovědnost za obsah jednotlivých příspěvků, ani neručí za skutečnou identitu jejich autorů.

V zájmu udržení vysoké úrovně diskuzí žádáme autory, aby identifikovali své příspěvky svým jménem nebo alespoň přezdívkou a pokud možno i elektronickou adresou.

Děkujeme za přízeň a doufáme, že naše www stránky nabízejí co hledáte.

Středoevropské centrum pro finance a management
Svět plný ověřené vzdělanosti

Dnešní datum:

V diskuzi zatím není žádný příspěvek. Máte možnost být první.

Podmínky provozu | © Copyright 2005-2012 Středoevropské centrum pro finance a management | Mapa stránek
Upozornění
Spolupráce: Napsali jste kvalitní odbornou práci, studii nebo analýzu, která Vám nyní leží v šuplíku? Publikujte ji zde. Co Vám za to můžeme nabídnout najdete na stránce informace pro autory.

Upozornění na novou službu: Právě jsme spustili Katalog odborníků, konzultantů a profesionálů. Odkaz Odborníci.
Novinky
Sharpe Ratio
Treynor Ratio
Sortino Ratio
Crashophobia
Portfolio Turnover Ratio (PTR)
Opce - delta hedging
Black-Scholes Model
Další zajímavé čtení
Nejčtenější pojmy
z financí a managementu
SWOT analýza SWOT je typ strategické analýzy stavu firmy, podniku či orga...
(Přečteno: 128848x)
Zrušení, likvidace, zánik společnosti Zrušení a zánik společnosti se řídí v České republice zákonem 51...
(Přečteno: 106582x)
Definice cíle SMART (Project Management) SMART je souhrn pravidel, která pomáhají především v r...
(Přečteno: 90843x)
Giniho koeficient Giniho koeficient, sestrojený italským statistikem Coradem Gini v r...
(Přečteno: 55752x)
Balanced ScoreCard Balanced ScoreCard, strategický integrovaný systém měření a říze...
(Přečteno: 55722x)
Zajímavosti od sousedů
Anketa
Doporučené www stránky
Vybrané finanční
a manažerské okruhy
aneb
Co ještě možná neznáte?
Reklama
Středoevropské centrum pro finance a management - Svět oveřené vzdělanosti - Klikňete zde a dozvíte se více
.