facebook LinkedIN LinkedIN - follow
IT SYSTEMS 10/2013 , ITSM (ITIL) - Řízení IT

COBIT 5 v malých a středních firmách



COBIT 5COBIT 5 a ostatní „best practices“ jsou využívány ve velkých firmách. V malých a středních firmách jsou považovány za zbytečně robustní a byrokratické. Nicméně i tam se dají využít. Důležité je si uvědomit, co mi mohou přinést, co vlastně potřebuji, a jak je tedy můžu využít.


 

Co je to COBIT 5?

Definice říká, že COBIT 5 poskytuje komplexní rámec, který napomáhá firmám dosáhnout jejich cílů v rámci směrování a řízení IT. Zjednodušeně řečeno, napomáhá vytvořit optimální hodnotu získanou pomocí přínosů při optimálním riziku a využití IT zdrojů. Postaven je na pěti principech:

  • zajištění potřeb zainteresovaných stran (meeting stakeholder needs),
  • pokrytí celé společnosti (covering the enterprise from end-to-end),
  • použití jednoho integrovaného rámce (applying a single integrated framework),
  • možnost celistvého přístupu (enabling a holistic approach),
  • oddělení vedení společnosti od každodenního řízení (separating governance from management).

Tyto principy na sebe navazují a zároveň se doplňují. Jejich aplikace je stejná jak ve velkých firmách, tak i malých a středních firmách. Podívejme se nyní na tyto principy detailněji.

Zajištění potřeb zainteresovaných stran

Každou firmu někdo založil (majitel). V každé firmě někdo pracuje (zaměstnanec). Každá firma poskytuje někomu své služby či produkty (zákazník). Každá firma s někým spolupracuje (partner, dodavatel). Každé firmě někdo poskytl prostředky (banka). A každá firma se řídí nějakou legislativou a pravidly vydanými nějakou institucí. To všechno jsou zainteresované strany, tzv. stakeholders. Zainteresované strany můžou být uvnitř i vně firmy. Každá zainteresovaná strana má své zájmy a potřeby. Někdy jsou shodné, někdy protichůdné. Tyto zájmy a potřeby pak mají pro danou zainteresovanou stranu svou hodnotu. Očekává se, že každá firma se danou hodnotu pokusí do určité míry zajistit. Hodnota přitom vzniká ze získaných přínosů. Abychom těchto přínosů dosáhly, musíme vynaložit určité prostředky a zdroje. Aby hodnota byla co nejvyšší, měly by být vynaložené prostředky optimální, stejně jako využité zdroje. To s sebou samozřejmě přináší určitá rizika. Tato rizika by měla být přiměřená získané hodnotě. Tento vztah je možné zobrazit pomocí obrázku 1. Na základě této definice pak COBIT 5 identifikuje v obecné rovině tyto potřeby a pomocí „kaskádování“ je překládá do podoby cílů organizace, IT a jednotlivých pilířů IT.

Obr. 1: Tvorba hodnoty
Obr. 1: Tvorba hodnoty

Pokrytí celé společnosti

IT služby poskytují v rámci firmy IT pracovníci pomocí IT procesů a podpůrných nástrojů. Velmi často se IT oddělení začne tvářit jako firma ve firmě. Je ale možné, aby fungovalo bez spolupráce se zbytkem firmy? Je možné, aby zbytek firmy fungoval bez spolupráce s IT oddělením? Vždyť jak zbytek firmy, tak IT oddělení táhnou za jeden provaz. V rámci IT procesů je potřeba vyjádření pracovníků ze zbytku firmy a obráceně. IT pracovníci musí být zapojení v rámci ne-IT procesů. Jedna část firmy nemůže existovat bez té druhé. Dalším aspektem je, že IT oddělení si nemůže samo určit, jakým způsobem budou IT služby poskytované. Zároveň nejde, aby zbytek dělal svá rozhodnutí bez účasti IT. Proto je potřeba vymezit pravidla hry (směrování firmy), která budou platit jak pro IT, tak pro zbytek firmy. Toto směrování firmy musí být definované společně. Abychom je mohli definovat, je potřeba zajistit zdroje (enablers), definovat rozsah (scope) a určit odpovědnosti (roles, activities and relationships). To se dá vyjádřit pomocí obrázku 2.

Obr. 2
Obr. 2

V rámci definování odpovědností je potřeba si uvědomit, že vše opět začíná u zainteresovaných stran, především u majitelů. Ti specifikují své požadavky a delegují odpovědnost za vytvoření směrování na vrcholové vedení firmy (governing body). Tím se samozřejmě nezbavují odpovědnosti (accountability). Vrcholové vedení firmy nastaví směrování a tím definuje, jak má střední management firmy (management) instruovat výkonné složky (operation and execution). Tyto výkonné složky musí pak reportovat výsledky své práce managementu, který je monitorován vrcholovým vedením. Celé schéma vztahů a odpovědností je patrné z obrázku 3.

Obr. 3: Role, odpovědnosti a vztahy
Obr. 3: Role, odpovědnosti a vztahy

Použití jednoho integrovaného rámce

Pro oblast IT existuje mnoho doporučení, standardů a různých rámců. Každý z nich byl vytvořený jinou organizací, používá jinou terminologii a jiný přístup. Některé z nich se přitom navzájem doplňují a některé překrývají. Tím, že každý volí jiný přístup, je obtížné je využívat. Proto se ISACA, jako autor COBITu, snaží o sjednocení. V první řadě se jedná o sjednocení jednotlivých rámců vytvořených v minulosti sdružením ISACA. Jedná se o COBIT 4, ValIT a RiskIT. Každý z těchto rámců byl vytvořen v jiném časovém období a zahrnoval jinou oblast. Tím došlo k tomu, že každý měl jinou strukturu a používal jinou terminologii. Sjednocením do COBIT 5 došlo k odstranění těchto nedostatků. Ve druhé řadě se jedná o zastřešení rámců od ostatních organizací. V rámci vývoje COBIT 5 byly jednotlivé rámce porovnány a analyzovány. Na základě toho byla vytvořena v rámci COBIT 5 příloha s propojením jednotlivých procesů definovaných podle jiných rámců či standardů. COBIT 5 tedy definuje cíle a důvody pro jednotlivé procesy, navazující rámce a standardy pak určují způsob jejich realizace. Zkráceně se dá říct, že říká proč a ostatní rámce říkají jak.

Umožnit celistvý přístup

Aby firma dobře fungovala, musí být postavená na zdravých základech. Ty musí být vyvážené z pohledu sedmi perspektiv, nebo chcete-li pilířů:

  1. Principy, politiky a rámce (principles, policies and frameworks) – definují pravidla hry pro každodenní práci.
  2. Procesy (processes) – definují činnosti jak dosahovat požadovaných výsledků a jednotlivá rozhraní.
  3. Organizační struktury (organizational structures) – definují způsob, jak jsou lidé organizovaní do jednotlivých týmů.
  4. Kultura, etika a chování (culture, ethics and behaviour) – definuje způsob očekávaného chování a komunikace v organizaci.
  5. Informace (information) – definuje, jaké informace kde vznikají, kde jsou potřeba a jakým způsobem se zajišťují.
  6. Služby, infrastruktura a aplikace (services, infrastructure and applications) – definuje technické prostředky potřebné k zajištění informací a způsob jejich logického propojení.
  7. Lidi, znalosti a kompetence (people, skills and competentcies) – definuje, jaké lidi k tomu všemu potřebujeme a co potřebují umět, aby byli schopni plnit zadané cíle. 
Obr. 4
Obr. 4

Abychom nic neopomněli, je potřeba ke všem těmto pilířům přistoupit systematicky a strukturovaně. Proto COBIT 5 pro každý z těchto pilířů definuje čtyři dimenze a způsob jejich měření. Jsou jimi:

  • zainteresované strany (stakeholders),
  • cíle (goals),
  • životní cyklus (lifecycle),
  • doporučení (goodpractices). 
Obr. 5
Obr. 5

Na měření jednotlivých dimenzí se můžeme dívat dvojím způsobem. V první řadě se můžeme ptát, do jaké míry dosahujeme stanovených cílů. V druhé řadě se můžeme ptát, jak moc se nám daří implementovat jednotlivá doporučení.

Oddělení vedení společnosti od každodenního řízení

Každý pracovník v organizaci potřebuje vědět, co má dělat. Jeho nadřízený mu musí specifikovat úkol, motivovat ho a musí zkontrolovat výsledek. To je součást každodenního řízení. Nicméně úkoly pro konkrétní pracovníky musí směřovat ke společnému cíli. Není možné, aby každý pracovník směroval jiným směrem. To by potom organizace těžko naplnila své cíle, pro které byla založena. Musí existovat jednotné vedení (governance) organizace. Jak jsme si řekli u prvního principu, to by mělo být úlohou vrcholového vedení organizace. Je tedy nutné rozlišovat mezi vedením (směrováním) organizace a každodenním řízením. Dá se to přirovnat k plavbě lodi. Loď má svůj cíl, přístav, do kterého má dovést náklad nebo pasažéry. Kapitán na můstku určuje směr plavby tak, aby loď s co možná nejmenším úsilím a rizikem do daného přístavu doplula. Zároveň každý námořník na lodi musí vykonávat svou práci na každodenní bázi co možná nejlépe. A to tak, aby loď směřovala právě ke svému cíli, a to i přesto, že nejsou na kapitánském můstku a neznají aktuální kurz lodi. Není možné, aby strojovna zařadila zpětný chod v době, kdy má plout na plný výkon vpřed. Právě proto COBIT 5 rozlišuje mezi vedením a řízením. Toto rozlišení se promítlo do procesního modelu. Je definováno celkem 37 procesů, které jsou rozdělené do pěti domén. Jedna doména je vyhrazena pouze procesům určeným k vedení organizace (governance) a zbytek je určen ke každodennímu řízení.

Obr. 6
Obr. 6

Potřeby malých a středních firem

Malé a střední firmy potřebují plnit své cíle stejně jako ty velké. Potřebují definovat své cíle, svou strategii, svoji organizaci, svoje procesy apod. Nicméně způsob, jak toho dosáhnout, bývá jiný. Je dobré si uvědomit, že v malých a středních firmách:

  • je méně pracovníků,
  • je jednodušší organizace,
  • je na všechno víc „vidět“,
  • vyžaduje se větší flexibilita,
  • role jsou sdílené,
  • je na všechno méně času,
  • je méně prostředků apod.

Při implementaci vedení a řízení IT podle COBITu, je potřeba si uvědomit, že v malých a středních firmách nebude existovat žádný útvar určený pouze pro určování směrování organizace. Vrcholové vedení v podstatě zajišťuje jak směrování organizace, tak i roli středního managementu. To znamená každodenní řízení výkonných pracovníků. Velmi často to zajišťuje majitel společnosti. Stejně tak vedoucí IT nebude řídit pouze IT oddělení (o několika málo lidech), ale bude zároveň vykonávat do určité míry i práci specialisty. Ve spoustě organizací dokonce nebude žádné IT oddělení. Bude pouze určený pracovník (velmi často bez technických znalostí), který bude koordinovat činnost externích partnerů zajišťujících IT v organizaci. Nicméně i v těchto případech je potřeba definovat a realizovat krátkodobé i dlouhodobé cíle IT. Zajistit, aby IT nebylo pouze nákladovou položkou, ale aby přinášelo i přidanou hodnotu.

Prvním předpokladem je, že si vedení společnosti (majitel) uvědomí nutnost nejenom řídit organizaci, ale i směrovat organizaci v dlouhodobějším horizontu. Že vedení společnosti definuje cíle organizace pro stávající období, ale i nadcházející roky (jeden až tři). Potom je možné pomocí „kaskádování“ cílů (viz první princip) definovat cíle pro IT. COBIT 5 ve svých přílohách definuje možné obecné cíle jak pro celou organizaci, tak i pro IT oddělení a jeho jednotlivé pilíře. Tyto cíle se dají pro danou organizaci konkretizovat do podoby jednoduchých, srozumitelných a měřitelných cílů. Nemusí jich být mnoho. Naopak, mělo by jich být zhruba tři až pět, abychom se na ně mohli soustředit, a netříštit tak svoje zdroje.

Jakmile máme stanované cíle, je možné definovat přístup k IT. Bude IT zajištěno interně, nebo externě? Na základě tohoto rozhodnutí je potřeba stanovit priority pro jednotlivé pilíře (viz čtvrtý princip). Tím definujeme, na co se soustředíme. Pokud bude IT zajištěno externě, určíme, kdo bude odpovědný pracovník pro koordinaci externích partnerů. Pokud bude zajištěno interně, určíme, kam bude IT oddělení v rámci organizace patřit, jaká bude jeho úloha a jak se bude řídit. Z toho nám vyplyne, jaké procesy budeme potřebovat (viz pátý princip). Tyto procesy jsou v COBITu popsané do určité míry. Na těchto procesech se budou podílet nejenom IT specialisté, ale i ostatní pracovníci firmy (viz druhý princip). Je potřeba určit, jak se budou jednotlivé požadavky předávat. Kdo má vlastně právo IT úkolovat, aby se zajistilo, že IT vykonává to, co je potřeba k dosažení cílů celé organizace, a ne jenom jednotlivců. Na základě toho je možné začít definovat vybrané procesy. Tady je potřeba si uvědomit, že procesy by obzvlášť v malých a středních firmách měly být co nejjednodušší. V řadě případů bude stačit jeden list papíru. Nemá cenu všechno rozpracovávat do nejmenších detailů a postihovat všechny možnosti, které nastanou jednou za sto let. V malých a středních firmách je na všechno víc vidět, a proto bude kontrola jednodušší. Zároveň se tím zajistí i požadovaná flexibilita a zamezí se zbytečné byrokracii. V řadě případů bude pro popis procesu stačit to, co je uvedené v rámci COBIT 5. Pokud by to náhodou nestačilo, je možné se podívat na podrobnosti do dalších rámců (viz třetí princip) a tím popis procesů doplnit.

Závěr

Jak je vidět, i v malých a středních firmách může být COBIT 5 užitečný. Není přitom nutné žádné sáhodlouhé studování tisíců stran různých doporučení a norem. Jmenovaných pět principů (včetně příloh) je popsáno na zhruba 150 stránkách publikace COBIT 5 Framework. Popis jednotlivých procesů je pak uvedený v publikaci COBIT 5 Enabling Processes, která slouží jako referenční příručka. Pokud bude IT zajištěno externě, je možné si na to najmout konzultanta, který v řádu hodin (maximálně jednotlivých dnů) společně s vámi všechno potřebné připraví. Na závěr je jenom vhodné popřát šťastnou ruku a potřeba připomenou obecné pravidlo: používejte zdravý selský rozum.

Martin Vitouš

Autor je jediným akreditovaným lektorem COBITu v ČR a SR. Pracuje jako vedoucí globálních IT projektů v nadnárodní společnosti, převážně v oblasti řízení IT, projektů a procesů a jejich optimalizaci. Ve volném čase pak předává své zkušenosti a znalosti formou koučování a školení jako člen volného sdružení ict-123.com.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.