Wdrożenie standardu COBIT w NHS Fife

przez

NHS (National Health Service) Wielkiej Brytani jest to największy publiczny system opieki zdrowotnej. Został utworzony w 1948 roku. Obecnie składa się z czterech niezależnych od siebie systemów:[1]

  • National Health Service (England),
  • NHS Wales,
  • Health and Social Care in Northern Ireland (HSCNI),
  • NHS Scotland.

Termin National Health Service może odnosić się do jednego z powyższych czterech systemów, ale oficjalnie tylko NHS England jest nazywany pełną nazwą National Health Service, a pozostałe systemy tylko akronimem NHS. Dla określenia NHS Northern Ireland częściej nawet używany jest akronim z jego drugiej nazwy w wersji skróconej – HSC.[2]

Chociaż systemy te razem tworzą całość systemu opieki zdrowotnej Wielkiej Brytani podlegają jednak innym zasadom i odpowiadają politycznie przed innym rządem: [3]

  • NHS England przed Rządem Wielkiej Brytanii,
  • NHS Wales przed Rządem Walii,
  • NHS Northern Ireland przed Władzą Wykonawczą Irlandii Północnej,
  • NHS Scotland przed Rządem Szkocji.

Rys. 1. Mapa Szkocji przedstawiająca obszar NHS Fife. Źródło.

480px-NHSfife

System opieki zdrowotnej w Szkocji bazuje na jednej jednostce głównej, 14 jednostkach regionalnych (NHS Boards) i 7 jednostkach specjalnych o sprecyzowanym zakresie funkcji dla całego NHS Scotland, jak np. NHS24, która zapewnia 24 godzinną pomoc i informację telefoniczną. Zadaniem jednostek regionalnych jest ochrona i poprawa zdrowia lokalnej społeczności poprzez świadczenie usług oraz bezpośredni kontakt z pacjentami.[4] Aby zwiększyć jakość świadczonych usług, NHS Scotland wdraża program eHealth. Cel poprawy jakości usług ma zostać osiągnięty poprzez lepsze wykorzystanie informacji i technologi.[5] Jednak parafrazując znanego bohatera z wielkimi możliwościami związana jest ogromna odpowiedzialność także w zakresie zarządzania systemami informatycznymi. Funkcjonuje kilka standardów, które mogą być w tym zakresie pomocne. W niniejszej pracy zostanie omówiony standard COBIT oraz jego wdrożenie w NHS Fife – jednostce regionalnej obejmującej niewielki obszar w środkowej Szkocji.

Control Objectives for Information and related Technology (COBIT), jak już wspomniano, jest to zbiór dobrych praktyk w zakresie zarządzania IT, które skoncentrowane są na kontroli, pomiarze efektów, ocenie dojrzałości systemu, zapewnieniu spójności pomiędzy strategią firmy a IT oraz zarządzaniu ryzykiem i zasobami. Z punktu widzenia biznesu standard ten ma na celu powiązanie celów biznesowych organizacji z jej celami IT.

Standard COBIT odnosi się do całej organizacji tj. można go określić jako bardziej ogólny, dotyczący wyższego poziomu. Został jednak dostosowany do bardziej szczegółowych standardów, jak ITIL (Information Technology Infrastructure Library), CMMI (Capability Maturity Model Integration), czy PMBOK (Project Management Book of Knowladge). COBIT integruje te różne standardy, zbierając ich główne cele i łącząc je z wymaganiami biznesowymi.

Standard COBIT wyróżnia cztery główne obszary dla zarządzania IT w firmie:

  • planowanie i organizacja,
  • nabywanie i wdrażanie,
  • dostarczanie i wsparcie,
  • monitorowanie i ocena.

W ramach tych obszarów wyodrębnia 34 proces, które następnie dzieli na mniejsze, konkretne czynności.

Każdy proces opisany jest w schematyczny sposób, który zawiera:[6]

  • Opis procesu uwzględniający jego główne cele i metody pomiaru oraz informacje, które wymagania biznesowe powinny być w ramach tego procesu najważniejsze, które zasoby IT są wymagane oraz na czym powinno się koncetrować zarządzanie IT. Aby lepiej zrozumieć, co kryje się pod tymi hasłami, poniżej przedstawiono opis przykładowego procesu z obszaru planowania i organizacji – rys. 2. Opis procesu w standardzie COBIT.
  • Zbiór punktów kontrolnych, które należy uwzględnić, aby móc uznać proces za kontrolowany.
  • Zestawienie elementów na wejściu i wyjściu danego procesu uzupełnione o informacje, z którym procesem były/będą one wcześniej/następnie związane. Macierz RACI, która obrazuje kto, jest odpowiedzialny w pierwszej (Responsible) i drugiej kolejnosci (Accountable) za każdą czynność w ramach procesu, kto powinien ją konsultować (Consulted), a kto powinien zostać jedynie o niej poinformowany (Informed). Zestawienie celów z ich miarami.
  • Skalę dojrzałości dla danego procesu.

Rys.2. Opis procesu w standardzie COBIT na przykładzie procesu PO1. Źródło: Governance Institute: COBIT 4.1. USA. 2007. s. 29.

COBIT-PO1

COBIT został opracowany przez Information Systems Audit and Control Association (ISACA) oraz Governance Institute w roku 1996. Obecnie dostępna jest jego piąta wersja. Bezpłatnie do pobrania ze strony.

Standard ten najczęściej wykorzystywany jest przez audytorów systemów informatycznych. Właśnie jako narzędzie dla audytorów został wskazany przez Generalny Inspektorat Nadzoru Bankowego w Rekomendacji D jako jeden z uznanych standardów międzynarodowych, dotyczących badania i oceny bezpieczeństwa informacji w systemach informatycznych.[7]

NHS Fife zaczęło stosować COBIT w roku 2007. Głównymi przyczynami wdrożenia tego standardu była potrzeba zapewnienia spójności pomiędzy lokalną i centralną strategią programu eHealth oraz wewnętrzne naciski na poprawę bezpieczeństwa, lepsze wyniki audytu oraz dostosowanie działań do powszechnie uznawanego standardu.

Przed rokiem 2007 NHS Fife stosowało standard Information Technology Infrastructure Library (ITIL). W dostępnej wówczas wersji tego standardu ITIL v2 brakowało wizji ciągłego ulepszania procesów, co z kolei posiadał standard COBIT, stąd też decyzja o zmianie. COBIT pozwalał na przełożenie istotnych procesów z poziomu strategicznego na operacyjny. Wskazywał jak ulepszać procesy i działania oraz jak mierzyć ich progres. Dla NHS Fife nastawionego na procesy standard COBIT był lepszą odpowiedzią na ich potrzeby również dlatego, że uwzględniał procesy pomijane w standardzie ITIL, takie jak: planowanie strategiczne, zarządzanie ryzykiem, zarządzanie jakością czy kontrola wewnętrzna.

Projekt wdrożenia standardu COBIT w NHS Fife wzrósł na znaczeniu w 2008 roku, kiedy postanowiono, że jego rezultaty posłużą jako rekomendacja dla trzech innych jednostek lokalnych w Szkocji i Wielkiej Brytanii. Wyniki projektu miały ponadto zostać przedstawione dyrektorowi ds. programu eHealth w szkockim rządzie, aby rozważyć wdrożenie COBIT w pozostałych jednostkach.

Cele wdrożenia z punktu widzenia jednostki NHS Fife:

  • Zrozumienie priorytetów w drodze do ustanowienia dojrzałego procesu eHealth oraz dostosowananie go do strategii NHS Fife.
  • Zminimalizowanie ryzyka i zwiększenie bezpieczeństwa.
  • Zwiększenie jakości wyników audytu wewnętrznego i zewnętrznego.
  • Stworzenie modelu ciągłego doskonalenia, który będzie zrównoważony oraz wykazanie jego wyników.
  • Osiągnięcie w ciągu roku trzeciego poziomu dojrzałości dla wszystkich procesów.

Wdrożenie standard podzielono na dwa etapy:

Etap 1 – Szkolenie kluczowych właścicieli procesów z grupy ds. eHealth na temat zarządzania IT, standardu COBIT oraz narzędzi wdrożeniowych.

Etap 2 – Przekazanie zdobytej wiedzy przez kluczowych właścicieli procesów pozostałym członkom grupy ds. eHealth. Dalsze szkolenia ze standardu COBIT i narzędzi wspierających wdrożenie. Określenie wszystkich istotnych właścicieli procesów i zakresu ich odpowiedzialności korzystając z macierzy RACI (rys. 3 – Macierz RACI dla NHS Fife). Analiza stanu obecnego w realizacji procesów. Wybór procesów pilotażowych w oparciu o analizę wartości tychże procesów (rys. 4 – Analiza wartości procesów w NHS Fife) i inne analizy. Opracowanie planu ulpszenia wybranych procesów. Przeprowadzenie badania satysfakcji z usług działu IT, aby zademonstrować zmianę podejścia wśród pracowników. Cykliczne spotkania weryfikujące postępy w realizacji planów. Przekazanie wyników projektu wdrożeniowego.

Rys. 3. Macierz RACI dla NHS Fife. Źródło.

RACI-NHS-Fife

W pierwszej kolumnie wymienione są id procesów według klasyfikacji COBIT w tym przykładzie są to procesy z obszaru dostarczanie i wsparcie. Druga kolumna reprezentuje punkty kontrolne powiązane z kolumną kolejną czyli konkretną czynnością w ramach procesu. W kolejnych kolumnach oznaczone są role poszczególnych pracowników, gdzie litery oznaczają: odpowiedzialny w pierwszej (Responsible) i drugiej kolejności (Accountable) za każdą czynność w ramach procesu, osoba powinna ją konsultować (Consulted), osoba powinna zostać jedynie o niej poinformowana (Informed).

Rys. 4. Analiza wartości procesów w NHS Fife w celu wyboru procesów pilotażowych. Źródło.

Analiza-wartosci-NHS-Fife

Analiza wartości procesu uwzględnia dwa kryteria: wkład danego procesu do realizacji celów IT oraz istotność tych celów. Dalsze działania poświęcone były procesom o wysokim wkładzie w znaczące cele.

W roku 2010 wprowadzone zmiany przeszły badanie zewnętrznego audytora. Wykazano trzeci poziom dojrzałości procesów, tak więc projekt można uznać za udany, a jego cele osiągnięte.

Wprowadzone zmiany pociągnęły za sobą kolejne w zakresie m.in. zarządzania poziomem usług, zarządzania bezpieczeństwem i ciągłością działania, a także w zarządzaniu incydentami.

W roku 2012 infrastruktura eHealth w NHS Fife uzyskała certyfikat ISO27001 z zakresu bezpieczeństwa informacji.

Obecnie jednostka NHS Fife, a w niej zespół ds. eHealth skupiony jest na konsolidacji i ustanowieniu katalogów dostosowanych do ich specyficznych potrzeb w szczególności w zakresie zarządzania zespołem oraz zarządzania poziomem i bezpieczeństwem świadczonych usług. Jest to krok w kierunku 4 poziomu dojrzałości.

 

Na podstawie: Case study ze strony stowarzyszenia ISACA zajmującego się audytem, kontrolą,  bezpieczeństwem oraz innymi elementami zarządzania systemami informatycznymi.

Pozostałe źródła:
[1] Oficjalna strona NHS z dnia 22.05.12
[2] Ibidem.
[3] Ibidem.
[4] Oficjalna strona NHS Scotland z dnia 24.05.13
[5] Strony programu eHealth z dnia 24.05.13
[6] Governance Institute: COBIT 4.1. USA. 2007. s. 27.
[7] Generalny Inspektorat Nadzoru Bankowego: Rekomendacja D dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki. Warszawa. 2002. s. 32

Dodaj komentarz