Governance znamená „vládu a správu“ podniku (platí i obecně pro organizace, korporace, instituce, úřad apod.), pro kterou je charakteristické vyhodnocování potřeb, podmínek a možností zainteresovaných stran, s cílem dosáhnout vyvážených a dohodnutých podnikových cílů; stanovení směru prostřednictvím určování priorit a rozhodování; a sledování výkonnosti a souladu s dohodnutým směrem a cíli. Governance proces tvoří akcionáři, statutární orgány, management, pokyny (nařízení), kontrola výsledků. Lze rozlišovat různé úrovně governance ‒ např: korporátní, podniková, IT, projektová... Dále je třeba rozlišit 2 části: Corporate Governance (hodnocení souladu s právními předpisy a jejich dodržování – audit na jedné straně a Business Governance (hodnocení výkonu na základě strategie, tvorby hodnot, aktivit a tvorby zdrojů) na straně druhé.

IT Governance (ITG) jako nový styl řízení IT v rámci organizací se postupně formoval od r. 2003. V současnosti se IT Governance skládá z mechanismu rozhodování o IT, procesů IT Governance a manažerských rolí CIO (Chief  Information Officer) při prosazování pravidel IT Governance. Nově se definují odpovědnosti a pravomoci útvaru IT na jedné straně a exekutivy podniků na straně druhé. ITG již prošla určitým vývojem a ekvivalentem pojmu ITG je v současné době pojem Enterprise Governance of IT (EGIT), který proti zásadám ITG zdůrazňuje potřebu důraznějšího propojení řízení IT s řízením organizací, a tedy byznysem. Termín EGIT je spojován především s metodikou Cobit 5.

Rámec COBIT

Organizace se v minulosti potýkaly s vysokými investicemi do IT a často tyto investice nepřinesly očekávané přínosy. Také rizika spojená s využíváním IT se stále zvyšují. Z tohoto důvodu bylo zapotřebí vytvořit rámec, který:

• Sladí jednotlivé rámce a standardy, které se používají v IT,
• bude poskytovat definice zodpovědnosti za IT z pohledu jednotlivých podnikových útvarů a útvaru IT,
• bude obsahovat přehled kontrol pro jednotlivé oblasti v IT, které pomohou eliminovat rizika vyskytující se v IT,
• bude poskytovat návody, jak zacházet s podnikovou architekturou, jak řídit informační aktiva a služby, jak zajistit správnou dodávku služeb v návaznosti na organizační modely a jak zacházet s vznikajícími trendy a technologiemi.

Toto byl základ pro vznik rámce COBIT (Control Objectives for Information and Related Technology). První verze rámce COBIT byla publikována organizací ISACA v roce 1996 a obsahovala metodiky zaměřené čistě na audit. Od té doby se tyto metodiky neustále rozšiřují a zdokonalují.
Současná verze COBIT 5 byla vybudována na pěti základních principech.

1. Uspokojení potřeb zájmových skupin – Cobit 5 využívá nástrojů pro kaskádování cílů a nabídku metrik, které umožňují hodnotit, zda se cílů podařilo dosáhnout.
2. „End-to-end“ pokrytí podniku, kdy informace je klíčovým zdrojem a má svůj životní cyklus: vzniká, užívá se, uchovává, zveřejňuje a ničí. V celém životním cyklu informace hraje klíčovou úlohu informační technologie. Řízení IT je tedy důležité pro všechny procesy (business i IT) a pro všechny úrovně řízení (představitele zájmových skupin nevyjímaje).
3. Aplikace jednoho integrovaného rámce – Cobit 5 navazuje a prezentuje nejlepší praktiky z různých existujících regulací, norem, rámců. Současně je prezentuje v rámci jednotného modelu (koncepce).
4. Podpora holistického přístupu – spočívá v uvedení tzv. aktivátorů (enablers), které představují 7 prvků, majících vliv na to, zda bude cílů EGIT dosaženo: Principy, politiky a rámce; Procesy, Organizační struktury, Kultura, etika a chování, Informace, Služby a infrastruktura, Lidé, dovednosti a kompetence.
5. Oddělení úrovně řízení „Governance“ od úrovně řízení „Management“ – Cobit 5 odlišuje procesy správy a procesy manažerské:
   
   • Governance procesy zajišťují, že cílů organizací se dosahuje pomocí hodnocení potřeb všech zájmových skupin, určováním priorit rozvoje a monitorováním procesů a hodnocením míry dosažení stanovených cílů,
   • manažerské procesy zahrnují plánování, zavádění, realizaci, a monitorování, jejichž cílem je zhodnocení dodržení rozvoje stanoveného na úrovni Governance procesů.

Těchto uvedených 5 principů je natolik obecných, že jsou vhodné pro organizace všech velikostí a typů (ziskové, neziskové, státní).

Problematika zavádění EGIT v organizacích

Zavádění EGIT má své přednosti i potíže. Mezi hlavní přednosti zavádění EGIT v organizacích patří skutečnost, že v historii vývoje konceptů řízení IT reprezentuje nejucelenější a nejpropracovanější návody, jak sladit řízení IT s byznysem.

EGIT reprezentovaný Cobit 5 je pokusem předložit praxi sadu praktik, kontrol a metrik, které jsou součástí procesů dvou úrovní Governance a Management. Zatímco Governance procesy jsou v převážné většině v odpovědnosti statutárních orgánů a jsou prezentovány modelem EDM (Evaluate, Direct, Monitor), manažerské procesy jsou většinou v odpovědnosti exekutivních rolí, které odpovídají za plánování, návrh, realizaci a monitoring plnění cílů stanovených představiteli zájmových skupin. Na této úrovni se hovoří o modelu Plan – Build – Run – Monitor (PBRM). Procesy řízení IT tak jdou napříč všemi úrovněmi řízení organizací (jak byznys, tak IT) a navíc berou v úvahu i potřeby různých zájmových skupin, reprezentovaných úrovní statutárních orgánů.

Koncept EGIT ale současně představuje pro organizace řadu problémů a úskalí. Jako první je potřeba zmínit náročnost a iterativní postup zavádění této koncepce a nároky na zdroje (realizace dílčích projektů v uceleném programu změnová řízení, nové kompetence a odpovědnosti, nové procesy a IT rolí). Dalším problémem pro mnoho organizací je skutečnost, že koncepce EGIT vychází ze základního předpokladu, že je potřeba znát potřeby různých zájmových skupin, stanovit jejich priority a následně formulovat strategické cíle organizace. Pokud organizace tento postup nebude respektovat, investice vložené do zavádění relevantních procesů IT budou neefektivní.

Posledním problémem, který stojí za zmínku, je malé povědomí o této koncepci řízení IT, a tím i argumentace typu: „Máme již certifikace kvality, bezpečnosti, máme zavedené procesy podle ITIL, řídíme projekty podle mezinárodně uznávaných metodik (PMBOK, ev. dalších), musíme se vyrovnat s regulacemi typu GDPR atd. Proč tedy máme plýtvat zdroji na zavádění dalšího rámce?“ Tyto argumenty jsou sice oprávněné, ale velmi často dochází k tomu, že právě soulad s uvedenými regulacemi a rámci řeší separátně různé skupiny lidí v rámci různých rozpočtů a často se stává, že se činnosti provádějí duplicitně, nebo se vzájemně negují. Výhodou EGIT podporovaného Cobit 5 je skutečnost, že nemá ambice nahrazovat činnosti těchto různých týmů, ale může reprezentovat jakousi nadstavbu, která pomůže zmapovat tyto činnosti, konfrontovat je s cíli organizace a vytvořit rámec, který procesy zefektivní a zprůhlední. Jednotlivé role/specialisté si pak mohou doplnit praktiky doporučené metodikou Cobit 5 o další relevantní a podrobnější návody (rámce, regulace, normy).

Závěr

EGIT představuje přístup k řízení IT v organizacích, který vychází z předchozích modelů, přebírá z nich to nejlepší, a hlavně manažerům v byznysu poskytuje návody, jak efektivně komunikovat a spolupracovat v rámci jednotlivých procesů řízení s IT profesionály. Pro překonání problémů spojených se zavedením EGIT je potřeba, aby byznys manažeři a reprezentanti různých zájmových skupin se více zapojili do rozhodovacích procesů týkajících se IT, a naopak IT specialisté si uvědomili, že pro generování hodnot pro byznys prostřednictvím IT není v dnešní době důležité pořízení nejvýkonnějších počítačů, moderních aplikací a nejlepších IT odborníků, ale efektivní podpora měnících se potřeb byznysu.

Autorka článku Zora Říhová působí na Jihočeské univerzitě v Českých Budějovicích, PrF, ÚAI.
Autorka článku Vlasta Svatá působí na VŠE v Praze, FIS, KSA.

Literatura:
Říhová, Svatá, 2018, Koncepční změny v řízení IT organizací, Systémová Integrace 2/18, ISSN 1210-9479
Říhová a kol. 2018: Úvod do IT Governance, VSE Oeconomica, ISBN: 978-80-245-2272-2.
Governance.
ISACA website (www.isaca.org)