Kvalitativní standardy v IS/ICT: Část 1. IT Governance

Obor IS/ICT má velký inovační potenciál, ale trpí nedostatkem transparentnosti a nezřídka se ubírá poněkud odlišným směrem, než je z pohledu strategie organizací žádoucí. V posledním období proto sílí iniciativy vedoucí ke zvyšování efektivity využívání IS/ICT, resp. prohlubování profesionality, kvality a strategického souladu IS/ICT cílů s obchodními cíli organizací.

Na podporu vzájemného dialogu mezi manažery IS/ICT a jejich kolegy z jiných oblastí podnikového řízení uvádíme přehled a klíčové charakteristiky nejdůležitějších a nejfrekventovanějších modelů řízení a kvalitativních standardů v oblasti IS/ICT.

S články na toto téma v obecné rovině se v poslední době "roztrhl pytel", přičemž z některých není vůbec jasné o co se v dané problematice vlastně jedná. Proto se autor pokusil zpracovat dané téma tak, aby bylo srozumitelné i pro širší manažerskou obec, která by - po přečtení všech tří částí článku (v MŘ č. 7, 8, 9/2006) - měla získat lepší orientaci v oblasti kvalitativních standardů v oblasti IS/ICT. Jsou to:

strategický model IT Governance směřující k dosažení excelence v organizaci a řízení IS/ICT (v části 1. zde),

manažerský rámec COBIT umožňující implementaci IT Governance a

strategický model IT Service Management zajišťující, aby služby IS/ICT byly v souladu s obchodními požadavky organizací(obojí v části 2. v MŘ č.8/2006),

procesně orientovaný rámec pro řízení IS/ICT služeb ITIL doplněný o nejdůležitější standardy ISO pro IS/ICT a základní trendy související s kvalitou v IS/ICT (v části 3. v MŘ 9/2006).

STRATEGICKÝ MODEL

IT Governance je strategický model, který definuje soubor odpovědností a praktik pro vrcholová vedení organizací. Směřuje k zajištění vedení, organizace a řízení procesů podnikového IS/ICT způsobem, který zaručuje naplňování strategií a dosahování cílů organizací prostřednictvím IS/ICT. IT Governance definovaly a spravují instituce ITGI (IT Governance Institute) a ISACA (The Information Systems Audit and Control Association). IT Governance není izolovaným modelem, ale integrální součást širšího modelu řízení organizace Enterprise Governance, jehož autorem je ISACF (The Information Systems Audit and Control Foundation).

Účelem IT Governance je usměrňovat úsilí organizace v oblasti IS/ICT tak, aby byly naplněny tyto fundamentální cíle:

poskytování hodnoty (delivery of value) pro podnikání organizace,

zodpovědné využití zdrojů,

minimalizace rizik spojených s IS/ICT.

Tyto fundamentální cíle směřují k vyčlenění pěti hlavních oblastí zájmu (focus areas) IT Governance, které jsou:

1. IS/ICT Strategic Alignment: sladění IS/ICT s organizací, její strategií a cíli, a realizace požadovaných (očekávaných) přínosů,

2. IS/ICT Value Delivery: užívání IS/ICT způsobem, který organizaci umožní realizaci jejích podnikatelských činností, využívání příležitostí a dosahování očekávaných přínosů,

3. IS/ICT Risk Management: odpovídající řízení rizik spojených s IS/ICT,

4. IS/ICT Resource Management: zodpovědné využívání zdrojů směřovaných do oblasti IS/ICT,

5. IS/ICT Performance Measurement: monitorování a měření IS/ICT procesů/služeb a hodnoty přinášené IS/ICT organizaci.

Přirozeně, jednotlivé oblasti zájmu IT Governance nejsou statické, ale představují rovněž určitý cyklus využívání IS/ICT organizací. Z tohoto úhlu pohledu jednotlivé "focus areas" bývají chápány jako základní fáze životního cyklu IS/ICT v organizaci.

IT Governance je také možno chápat jako proces, který umožňuje rozpracovávání business strategie do IS/ICT strategie a dále do jednotlivých IS/ICT procesů, odpovědností, požadavků na zdroje a měřítek jejich výkonnosti.

IS/ICT Governance předkládá řadu nástrojů a struktur, které napomáhají dosažení vize IS/ICT Governance Excellence. Tyto jsou obsahem zejména modelu COBIT, resp. ITIL a některých ISO standardů, viz dále.

CHARAKTERISTIKA JEDNOTLIVÝCH OBLASTÍ

IS/ICT Strategic Alignment se zaměřuje na tvorbu IS/ICT strategie a jejího sladění se strategií/strategiemi, resp. strategickými cíli a potřebami organizace. IT Governance přináší do této oblasti takové postupy a praktiky, které umožňují, že IS/ICT strategie přijatá organizací je v souladu s business strategií organizace, resp. je konzistentní a integrovaná z pohledu strategického řízení celé organizace. IS/ICT strategie dle IT Governance umožňuje definování jednotlivých aspektů IS/ICT v návaznosti na strategii organizace.*)

IS/ICT Value Delivery se zaměřuje na postupy a praktiky umožňující organizaci získat hodnotu očekávanou od IS/ICT, a to včas, v mezích očekávaných výdajů a v odpovídající kvalitě (dodržování slibů). Kromě těchto základních IS/ICT přínosů se IS/ICT Value Delivery dále zaměřuje na postupy a praktiky umožňující využití IS/ICT pro aktivní obohacení předmětu činnosti organizace: vytvoření, případně posílení kompetitivní výhody, zvyšování úrovně služeb dodávaných organizací (např. zkracování doby dodání služby organizace zákazníkům), transformace hodnoty poskytované IS/ICT do zvyšování hodnoty služby dodávané organizací apod. Z uvedeného vyplývá, že IS/ICT Value Delivery se týká zejména monitorování očekávání a zájmu jednotlivých zainteresovaných stran (stakeholders) a rovněž řízení schopnosti tato očekávání naplnit.*)

IS/ICT Risk Management se zaměřuje na postupy a praktiky umožňující organizaci minimalizovat rizika související (nejen) s provozováním IS/ICT. IS/ICT Risk Management vyžaduje uvědomování si potenciálních rizik, rozpoznávání schopnosti a ochoty organizace riskovat, aktivní posuzování rizik z hlediska jejich pravděpodobnosti a potenciálu dopadu na organizaci, přijímání preventivních opatření a v neposlední řadě definování scénářů ošetření nastalých incidentů. IS/ICT Risk Management v zásadě rozpoznává 3 kategorie akcí k ošetření rizik: minimalizace rizika, transfer rizika a akceptace rizika. Jednotlivé aktivity vedoucí k naplnění principů IT Governance v oblasti IS/ICT Risk Management jsou blíže specifikovány v modelech COBIT a ITIL (Security Management), resp. standardech ISO/IEC 20000 a zejména pak ISO/IEC 17799 a ISO/IEC TR 13335.

IS/ICT Resource Management se zaměřuje na optimalizaci investic do IS/ICT, resp. na odpovídající řízení IS/ICT zdrojů: dat a informací, systémů a aplikací, infrastruktury, lidských zdrojů, vztahů atd. IS/ICT Resource Management usiluje o maximalizaci efektivity zdrojů a optimalizaci nákladů na ně vynakládaných - jasné přiřazení odpovědnosti za zdroje, používání vhodných metod a postupů řízení zdrojů a jejich alokace, stanovování priorit atd. Klíčovou výzvou pro IS/ICT Resource Management je vyvážení IS/ICT zdrojů s požadavky na IS/ICT služby.**)

IS/ICT Performance Measurement se zaměřuje na sledování, monitorování a měření implementace IS/ICT strategie, resp. dosahování IS/ICT cílů, monitorování a měření IS/ICT projektů, procesů, parametrů IS/ICT služeb atd. IS/ICT Performance Measurement definuje co měřit, jak a čím měřit, kdo by měl měřit, resp. jak se mají vlastní procesy měření uskutečňovat. IS/ICT Performance Measurement rovněž definuje vhodné nástroje a soustavy měření, např. IS/ICT Scorecards (odvozených od Balanced Scorecards). Z hlediska IS/ICT Performance Measurementu jsou rovněž důležité tzv. modely vyspělosti (maturity models).**)

IT Governance Maturity Models. Pro účely poměřování dosažených parametrů IS/ICT pracuje IT Governance s tzv. modely vyspělosti pocházejícími původně z modelu CMMI (Capability Maturity Model Integration), vyvinutého v Software Engineering Institutu (SEI) při Carnegie Mellon University. (Pozn. CMMI definuje procesy a klíčové praktiky potřebné pro zvyšování úrovně zralosti procesů zlepšování softwaru, nicméně bývá užíván v obecnější rovině pro definování cílů a priorit zlepšování procesů, tj. vč. IS/ICT procesů). Smyslem používání modelů vyspělosti je identifikace současného stavu posuzovaného parametru, a jeho srovnání s definovaným standardem (industry best practices), resp. umožnění plánování a monitorování dalšího zlepšování posuzovaného parametru (kde se nacházíme nyní - kde se chceme nacházet v budoucnosti). IT Governance pracuje jednak s tzv. obecným (generickým) modelem vyspělosti, jednak s řadou specifických modelů vyspělosti vztahujících se k jednotlivým procesům. Podle modelů vyspělosti může každý proces dosahovat následujících úrovní:

0: Neexistující (Non-existent), 1: Základní (Initial, Ad Hoc), 2: Opakovatelný, nicméně intuitivní (Repeatable but Intuitive), 3: Definovaný (Defined), 4: Řízený a měřitelný (Managed and Measurable), 5: Optimalizovaný (Optimized).

Atributy, podle kterých se posuzují úrovně jednotlivých posuzovaných procesů, jsou definovány ve vztahu k danému procesu; toto je detailně rozpracováno zejména v modelu COBIT.

Ing. Martin Adámek
manažer organizace a informatiky společnosti SIPRAL, člen České asociace manažerů IS/ICT (CACIO)


Volné pokračování v příštím čísle modelem COBIT, který prezentuje ucelený pracovní rámec pro implementaci IT Governance.


^*) Jednotlivé aktivity vedoucí k naplnění principů IT Governance v oblasti IS/ICT strategie Alignment a Value Delivery jsou blíže specifikovány v modelech COBIT a ITIL (The Business Perspective), které nastíníme v MŘ č. 8 a 9/2006.

^**) Jednotlivé aktivity vedoucí k naplnění principů IT Governance v oblasti IS/ICT, Resource Management a Performance Measurement jsou blíže specifikovány v modelech COBIT a ITIL (Service Delivery, Service Support), resp. standardu ISO/IEC 20000.