Řízení informačních, komunikačních a výpočetních technologií a systémů (IS/ICT, dále jen zjednodušeně IT) prochází ve společnostech čtyřmi fázemi, které se liší podle přijatých pravidel a mírou jejich vyspělosti.

U malých nebo začínajících společností je IT věnována minimální nebo jen okrajová pozornost. V tomto případě vedení společnosti považuje informační technologie a interní IT oddělení jen jako administrativní zázemí pro svoji činnost [CTK]. Oddělení zabývající se vývojem a podporou firemní informatiky plní požadavky uživatelů a nanejvýš periodicky reportuje skrze svého nejvyššího představitele top managementu své aktivity. Takto funguje úspěšně řada malých společností a nečiní jim to žádné komplikace.

Když se ale společnost rozroste, v další fázi přichází intuitivní řízení. Manažeři ve vrcholových úrovních se začnou více zajímat o to, co jejich podřízení v odděleních informatiky dělají, často tomu ne příliš rozumí, ale snaží se zavádět různé metriky například v podobě časových snímků, kariérních plánů, osobních hodnocení, přehledů o projektech, apod. Pracovníci v IT jsou více nuceni zdůvodňovat proč požadují prostředky na to či ono.

Třetí fáze v přístupu k řízení firemní informatiky je vývoj interních rámců, které jsou často založeny na postupném ad hoc přejímání praxí prověřených praktik (tzv. „Best Practices“) a na doporučeních externích konzultantů nebo auditorů. Zavádějí se plány, zavádějí se různé nástroje na řízení IT jako například Help Desk, pomocí dotazníků a šetření mezi uživateli se sleduje zpětná vazba od příjemců služeb IT, sestavují se rozpočty a sleduje se jejich plnění, IT má svého zástupce v top managementu a tím pravidelnou účast na poradách vedení, apod.

V poslední fázi nejde jen o to, aby top management věděl, co dělá jejich „záhadné“ oddělení, ale jde se dále. V této fázi je snaha řídit IT tak, aby byla maximalizována návratnost investic do IT projektů a minimalizovány související rizika. IT je vnímáno jako podpůrný nástroj pro dosažení konkurenční výhody, naplnění podnikové strategie, budoucí růst a zvýšení efektivnosti podniku [EVG]. Management se snaží zavést nějaký všeobecně akceptovaný standard nebo jejich kombinaci a případně dosáhnout i certifikace podle zvoleného standardu. IT je pak řízeno tak, aby zahrnovalo fázi plánování, implementace, monitorování a zlepšování.

Standard v této fázi představuje nejen strukturovanou a praxí prověřenou předlohu s jasně definovanými a transparentními pravidly, ale i podklad pro tvorbu auditovatelného systému [SPA]. Bez standardů by práce auditora byla mnohem složitější.

Obrázek 1: Vývojová linie standardizace IT. Zdroj: autor.

Důležité je zdůraznit, že standardy se používají nejen k hodnotovému řízení IT, tedy k dosažení toho, aby IT poskytovalo přidanou hodnotu, ale velmi často i za účelem řízení rizik, která IT přináší. Například datové sklady, ty jsou v současné době největším problémem pro bezpečnost a důvěrnost dat [HSI]. Mnohdy jsou plněny údaji z různých zdrojů ať už soukromých nebo vládních databází, důvěrných nebo veřejných, vnitrostátních nebo zahraničních – představme si datový sklad mezinárodní banky, zajistit důvěrnost v něm uložených dat není jednoduchá záležitost. Díky vysoké komplexitě problémů v IT je dnes řízení IT podle všeobecně uznávaných standardů rostoucí trend [PSB].

Z čeho lze vybírat?

Mezi nejznámější standardy, normy, procesní rámce a metodiky (dále jen „standard“) pro řízení IT patří COBIT, ITIL, ISO 20000 a ISO 27000 [GSR]. Kromě těchto hlavních standardů se používají i méně známé, často úžeji specializované, jako například Val IT, INTOSAI, PRINCE 2 nebo PMBOK. Některé dnes používané standardy jako například Sarbanes-Oxley (SOX), Six Sigma, COSO, Balanced Scorecard a další určené pro řízení a měření výkonnosti nebo rizik organizace nebyly svými autory originálně určeny přímo pro řízení IT, ale díky dnešní provázanosti IT a businessu velmi často do IT zasahují. Důležité je nezapomenout, že do IT zasahují i různé právní normy. V České republice to jsou například zákon o ochraně osobních údajů, o elektronickém podpisu, některé paragrafy trestního zákoníku, atd. V mezinárodním prostředí, respektive u amerických společností stojí za zmínku například Patriot Act a HIPAA. Seznam často používaných standardů je uveden v tabulce 1.

Který standard vybrat?

Jak je vidět, standardů je mnoho. Standardy se liší zejména ve svém rozsahu, tedy jestli se jedná spíše obecný standard nebo takový, který se věnuje detailům řízení jednotlivých procesů. Dále se standardy liší v tom, jestli jsou primárně zavedeny v IT nebo se do IT promítají z obecného podnikového řízení. Při výběru standardu je nutné se nejprve rozhodnout, jestli ho chceme použít pro řízení celého IT ve společnosti nebo jen vybrané části.

Obrázek 2: Kategorizace standardů podle míry jejich obecnosti a využití pro IT. Zdroj: autor.

Z těch komplexních rámců je velmi známý COBIT. COBIT je dnes jedním z nejrozšířenějších standardů v této oblasti [GSR] a zjednodušeně řečeno, jeho komplexnost spočívá v tom, že se snaží zabývat vším, co ve společnosti nějakým způsobem s IT souvisí. V COBITu se tedy setkáme jak například s definicí rizik internetového bankovnictví, popisem kontrol v rámci změnového řízení, tak i například s kontrolami týkajícími se zabezpečení chodu IT po personální stránce. COBIT je srozumitelný nástroj, pomocí kterého lze vrcholovým manažerům nemajícím hluboké zkušenosti s IT vysvětlit jak funguje podniková informatika a s tím související rizika. COBIT obsahuje i model vyspělosti (pravidla pro stanovení úrovně souladu se standardem).

Dalším častým standardem je ISO/IEC 27000, který se používá všude tam, kde je třeba zavést systém pro řízení bezpečnosti informací. Tento standard je často používán společnostmi, které potřebují mít jistotu nebo potřebují někomu prokázat (partnerům, regulačním orgánům, atd.), že jimi zpracovávané informace a data jsou zpracovávány a uchovávány bezpečně.

Potřebujeme-li řídit vybranou oblast v IT jako například dodávky software, řízení projektů, klientské centrum, Help Desk, a další, pak je vhodné se poohlédnout po specializovaném standardu, který se dané oblasti přímo věnuje. V oblasti řízení služeb a jejich podpory stojí za zmínku ITIL a ISO 20000. Představme si řízení sofistikovaného klientského centra (Call Center) zahrnujícího systémy pro Incident Management a Problem Management – bez použití jednoho z těchto standardů by to bylo obtížné.

Projektovým managementem se zabývá například mezinárodní PMBOK nebo britský PRINCE 2, které bychom použili ve fázi implementace zmíněného klientského centra a jeho integrace s existujícími podnikovými procesy s systémy. Standardy projektového managementu se často používají v softwarových firmách či velkých finančních nebo bankovních institucích, kde je třeba mít nějaký řád v tom, jakým způsobem jsou nové projekty uváděny v život.

Z těch dalších standardů věnujícím se konkrétním oblastem, standard Val IT poskytne odpověď na to, jestli investice do IT projektů jsou správné a jestli přináší požadovaný výnos. Pokud nás trápí bezpečnost elektronických transakcí, pak je vhodné zvážit HIPAA. Při vývoji software se můžeme setkat s ISO 12207 a 15504.

Do IT se promítají i některé standardy, které nejsou přímo určeny pro IT. Například zmíněné COBIT, ISO 27000 a Val IT jsou standardy vysloveně určené pro řízení IT a lze podle nich IT řídit samostatně. Naproti tomu Balanced Scorecard, Six Sigma, COSO, Sarbanes-Oxley jsou rámce, které bývají obvykle přijaty na obecné podnikové úrovni s tím, že je pak snaha jim v určitých oblastech podřídit i IT.

Následující tabulka shrnuje diskutované standardy a vyznačuje, ve kterých oblastech je možné který využít.

Standardy a národní legislativa

Standardy COBIT, ISO, ITIL jsou dnes už globální ve smyslu, že je používají firmy na celém světě. Jejich uvedení do praxe je ale do velké míry ovlivněno národní legislativou. Je nutné si uvědomit, že společnost v jedné zemi se díky globalizaci mnohdy řídí legislativou ještě nějaké další země. Například osobní údaje smí certifikát k elektronickému podpisu obsahovat obvykle jen se svolením podepisující osoby, velké rozdíly v národních úpravách a praxi ale jsou ve formě svolení a je tedy otázkou, jakou právní úpravou se bude řídit společnost provozující certifikační autoritu v mezinárodním měřítku. Pokud je česká společnost vlastněna americkou, může se tak setkat například se zákony HIPAA, Patriot Act a Sarbanes-Oxley. Především se zákonem Sarbanes-Oxley si láme hlavu nejeden český manažer [JEC]. Za zmínku stojí nedávný případ, kdy americká justice se začala zajímat o okolnosti privatizace České spořitelny [SLO].

V praxi se setkáváme s tím, že zákony jednotlivých zemí se neshodují nebo mohou jít i proti sobě. Zatímco banka v USA má povinnost součinnosti s americkým finančním úřadem, lokální legislativa její evropské pobočce nedovolí poskytnout americkému finančnímu úřadu osobní údaje byť o účtech amerických rezidentů. Zatímco z České republiky lze uskutečnit bezhotovostní převod do USA z webové stránky elektronického bankovnictví, v USA kvůli stejné transakci musí převodce díky legislativě osobně do banky.

Rizika výběru

Občas se stane, že vedení společnosti naplánuje implementaci nějakého standardu, například ISMS dle ISO 27000, protože je motivováno vidinou certifikace, která by umožnila lepší přístup k zakázkám. Po několika měsících se zjistí, že standardizace IT přináší mnohá omezení, která danou firmu příliš svazují a zavádění ISMS končí neúspěchem. ISO a COBIT jsou procesně orientované standardy zaměřené na kontroly, což nemusí být ten nejlepší model pro malé společnosti, butiky, společnosti s vysokým podílem znalostních pracovníků, apod. Například kontrola PO4.11 Segregation of Duties ve standardu COBIT hovoří o oddělení odpovědnosti. V praxi tak role programátora bývá neslučitelná s rolí testera a s rolí pracovníka, který migruje kód do produkčního prostředí. Takovéto oddělení rolí je přímo nutné zavést ve společnosti se stovkami nebo tisíci zaměstnanci, malá specializovaná firma s vysokou loajalitou vysoce kvalifikovaných znalostních pracovníků ale těžko bude zaměstnávat extra pracovníky jen kvůli oddělení rolí.

Riziko výběru tedy spočívá v tom, že se firma rozhodne implementovat nějaký standard a pak vkládá obrovské úsilí do boje s auditorem a vysvětlování, že spousta standardních kontrol v jejím prostředí nemá smysl. Po roce-dvou pak firma dospěje k názoru, že dnes moderní COBIT nebo ISO je pro ni příliš svazující, příliš administrativní a že má výjimku na více kontrol než kolik má kontrol implementovaných.

Slovo na závěr

Firmy ke standardizaci často přistupují na základě potřeby, která přichází buď ze strany businessu (standardizace jako marketingový nástroj) nebo ze strany řízení společnosti (potřeba mít IT pod kontrolou). Výběr vhodného standardu není lehký úkol, protože vyžaduje expertízu a samotná implementace hodně času a zdrojů.