Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX Přednáška č. 13 Ing. Pavel Náplava naplava@fel.cvut.cz Centrum znalostního managementu,13393 Katedra ekonomiky, manažerství a humanitních věd, 13116
Agenda Normy a metodiky. Compliance, Regulatory Compliance. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 2
ISO řady 9000 Obsahem jsou požadavky na zavedení systému jakosti a jeho rozvíjení a vylepšování: Zdokumentování veškerých vnitrofiremních činností (procesů) a vytvoření závazných prováděcích pravidel a pracovních předpisů. Řízení veškeré vnitrofiremní dokumentace. Sledování dodržování těchto pracovních postupů. Přijímání nápravných opatření při nedodržování pracovních postupů. Cyklus nepřetržitého zlepšování. Řízení vztahů se zákazníky i dodavateli. Motivaci zaměstnanců. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 3
ITIL V2 (IT Infrastructure Library) Rozsáhlý, konzistentní a procesně orientovaný rámec pro designování procesů podpory a řízení služeb ICT. Tento rámec je popsán v 8 publikacích, které obsahují: Definici procesů pro zajištění dodávky a podpory IT služeb (ITSM): Stanovení cílů, vstupů, výstupů a aktivit každého procesu. Stanovení rolí a jejich odpovědností v daném procesu. Způsob měření kvality poskytovaných IT služeb a účinnosti procesů. Vzájemné vazby mezi procesy. Zásady pro implementaci procesů ITSM: Přínosy, Critical Success Factors, problémy a vhodná protiopatření. Náklady na implementaci a následný provoz. Zásady pro řízení ICT infrastruktury Zásady bezpečnosti ICT infrastruktury Y16ISP Přednáška č. 13 Ing. Pavel Náplava 4
ITIL V3 Zaobírá se již jen ITSM řízením IT služeb (řízení infrastruktury IT je redukováno na minimum) a na IT službu se dívá z pohledu jejího životního cyklu (Service Lifecycle). Knihovna ITIL V3 je popsaná v pěti základních publikacích: Service Strategy Service Design Service Transition Service Operation (obsahově de facto tituly Service Support a Service Delivery z ITIL verze 2) Continual Service Improvement Y16ISP Přednáška č. 13 Ing. Pavel Náplava 5
Struktura ITIL V3 Y16ISP Přednáška č. 13 Ing. Pavel Náplava 6
Kompatibilita ITIL a ISO 9000 Dle ISO musí být všechny procesy v podniku jistým způsobem popsány, zdokumentovány, řízeny a neustále zlepšovány, a dále popisuje, jak má tato dokumentace vypadat a jak má být řízena. ITIL říká, jak mají být navrženy procesy ITSM, aby vedly k nákladově efektivnímu poskytování IT služeb, a současně zavádí nepřetržitý cyklus neustálého zvyšování jejich účinnosti a efektivity. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 7
Rozdíly mezi ITIL a ISO 9000 ISO má širší záběr (tzn. celopodnikový); procesy ITSM dle ITIL jsou pouze částí podnikových aktivit, které mají být dle ISO zdokumentovány a řízeny. ISO je velmi obecná norma, která vůbec neříká jaké procesy mají být popsány, ale jen říká, že musí být popsány všechny procesy; ITIL oproti tomu přímo definuje, které procesy mají být vytvořeny a implementovány. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 8
CobiT Control Objectives for Information and related Technology. Poslání CobiT (The CobiT Mission): To research, develop, publicise and promote an authoritative, upto-date, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors (zdroj: CobiT Executive Summary). Zkoumat, vyvíjet, publikovat a rozšiřovat směrodatný, aktuální a mezinárodně přijímaný komplex cílů řízení informačních technologií pro každodenní používání obchodními manažery a auditory. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 9
Rozdíly mezi ITIL a CobiT ITIL je nástrojem ICT Managementu neboli řízení ICT oddělení z pozice CIO. Umožňuje management zdrojů, požadavků, událostí, ICT infrastruktury... COBIT je metodikou pro ICT Governance, čili pohledu na ICT z pozice top-managementu. Jistota, že úsek ICT plní role a funkce podpory obchodních procesů. Jistota, že peníze investované do ICT jsou vynakládány efektivně. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 10
Compliance Compliance = vyhovění. Vyhovění zákonným předpisům. Dosažení souladu firemního IT s předpisy, pravidly a normami. Compliance není jednorázovou záležitostí, je to neustále probíhající proces. Oborové normy, případně obecné zákonné předpisy, které mají za cíl co nejvíce omezit nenadálá nepříjemná překvapení v účetních stavech organizací, odstranit neprůhlednost hospodaření, zavést včasné reportování a řešení krizových stavů (viz. Enron, Parmalat). Y16ISP Přednáška č. 13 Ing. Pavel Náplava 11
Sarbanes Oxley Act (SOX) Nařizuje plnou dokladovatelnost účetních aktivit firem obchodovaných na americké burze (vztahuje se i na dceřinné společnosti týká se i některých českých firem). Záruka generálního a finančního ředitele za správnost účetních výkazů (v USA hrozba trestního stíhání). Renovace finančního výkaznictví, interních kontrol, ukládání dat způsobem, aby byly splněny požadavky na rychlost, konzistenci a přesnost. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 12
SOX a IT Dokumentování a monitorování celé řady procesů. Investice do software pokrývající funkcionalitu: Business proces management monitorování a kontrola procesů. Records management řízení záznamů. E-mail archiving archivace e-mailů. Document management správa dokumentů Řešení bezpečnosti. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 13
HIPAA Health Insurance Portability and Accountability Act Odvětvový předpis. Požadavky na organizace zpracovávající zdravotnickou dokumentaci (pojišťovny, ordinace, kliniky atd.). Pravidla pro užití osobních údajů. Pravidla pro výměnu dat mezi institucemi. Požadavek na uchování záznamu o pacientech na nepřepisovatelných médiích a v nezměnitelném formátu. Duplikáty paměťových médií uloženy na zabezpečeném místě. IT investice : bezpečnost, komunikační infrastruktura, zálohování, databáze. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 14
BASEL II Vydáno Basilejským orgánem pro bankovní dohled. Cíl posílit stabilitu a bezpečnost bank a finančních institucí. Kapitálová vybavenost pro případ krize. Minimální míra kapitálové přiměřenosti ve výši 8% (minimální kapitál s ohledem na rizika a aktiva). Zabývá se řízením rizik (např. selhání vnitřních procesů) zavádí postupy pro jejich výpočet. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 15
BASEL III Krize ukázala, že kritérium kapitálové přiměřenosti není dostatečné (falšování výkazů). 4 nové složky: Tier 1 (going-concern capital) Common Equity Tier 1 Dodatečný Tier 1 Tier 2 (gone-concern capital). K tomu ještě dodatečné kapitálové rezervy. Y16ISP Přednáška č. 13 Ing. Pavel Náplava 16
Y16ISP Přednáška č. 13 Ing. Pavel Náplava 17
Y16ISP Přednáška č. 13 Ing. Pavel Náplava 18
Doporučená literatura 1. http://www.lbms.cz/itil/pdf/ii.logica.pdf 2. http://www.itsmportal.cz/cs/itil/co-je-to-itil-.alej 3. http://www.systemonline.cz/sprava-it/procesni-rizeni-it-sluzeb.htm 4. http://nb.vse.cz/~bruckner/4it417/xtoup02_-_.ppt 5. http://www.dbsvet.cz/view.php?cisloclanku=2005081001 6. http://nb.vse.cz/~ridelj/vsomis/mis_ls03_standardizace.ppt 7. http://www.cssi.cz/cssi/system/files/all/si-2010-01-08-jech.pdf 8. http://www.itil-officialsite.com/ 9. http://www.isaca.org/knowledge-center/cobit/pages/overview.aspx 10. http://www.sox-online.com/ 11. http://www.hipaa.org/ 12. http://normy.jakosti.cz/ Y16ISP Přednáška č. 13 Ing. Pavel Náplava 19