Mnoho organizací má informační systémy, které fungují – alespoň na první pohled. Aplikace běží, data se zpracovávají, uživatelé pracují. Přesto právě v oblasti IT často vznikají zásadní provozní, bezpečnostní a právní problémy, které se projeví až ve chvíli krize. Typicky při výpadku klíčového dodavatele, bezpečnostním incidentu nebo auditu.
Právě zde přichází ke slovu IT governance.
Co je IT governance
IT governance je soubor pravidel, procesů a odpovědností, jejichž cílem je zajistit, že informační technologie:
- podporují strategické cíle organizace,
- jsou řízeny transparentně a předvídatelně,
- mají jasně ošetřená rizika,
- jsou dlouhodobě udržitelné – technicky, smluvně i personálně.
Nejde tedy o samotné technologie, ale o způsob jejich řízení. IT governance propojuje vedení organizace, IT oddělení, dodavatele i právní a bezpečnostní oblast.
K čemu je IT governance v praxi
Dobře nastavená IT governance pomáhá organizacím zejména v těchto oblastech:
- Řízení rizik – minimalizace závislosti na jednom dodavateli nebo konkrétní osobě
- Kontinuita provozu – schopnost systém udržet nebo obnovit i při krizové situaci
- Soulad s regulacemi – například NIS2, DORA, GDPR nebo interními předpisy
- Auditovatelnost – dohledatelnost rozhodnutí, odpovědností a procesů
- Efektivní rozhodování – jasná pravidla pro rozvoj, změny a investice do IT
Bez IT governance se IT často stává „černou skříňkou“, do které vidí jen úzká skupina lidí.
Vendor onboarding jako součást IT governance
Jedním z často podceňovaných prvků IT governance je vendor onboarding – tedy proces, jakým organizace přijímá nové IT dodavatele.
V praxi onboarding často končí podpisem smlouvy a předáním přístupů. Z pohledu governance by ale měl zahrnovat mnohem víc, například:
- jasné vymezení odpovědností dodavatele,
- dokumentaci architektury a provozu systému,
- pravidla pro předávání zdrojových kódů a dokumentace,
- scénáře pro ukončení spolupráce,
- bezpečnostní a compliance požadavky.
Pokud onboarding tyto otázky neřeší, vzniká skrytá závislost na dodavateli, která se projeví až ve chvíli, kdy je změna složitá nebo nemožná.
Úschova zdrojových kódů jako praktický nástroj governance
Právě zde dává smysl úschova zdrojových kódů (software escrow).
Z pohledu IT governance nejde o „pojistku proti nepoctivému dodavateli“, ale o standardní nástroj řízení rizik. Umožňuje organizaci:
- zajistit dostupnost zdrojových kódů a dokumentace,
- mít kontrolu nad kritickými systémy i mimo běžný provoz,
- splnit požadavky na kontinuitu a audit,
- oddělit provozní závislost od vlastnictví know-how.
Úschova se přirozeně váže právě na vendor onboarding – ideálně už při zahájení spolupráce, nikoliv až ve chvíli, kdy se objeví problém.
IT governance není byrokracie, ale prevence
Častou obavou je, že IT governance znamená více papírů a méně flexibility. Opak je pravdou. Správně nastavená governance:
- zjednodušuje rozhodování,
- snižuje počet ad-hoc řešení,
- chrání management před nepříjemnými překvapeními,
- umožňuje IT růst kontrolovaně a bezpečně.
A právě kombinace promyšleného vendor onboardingu a úschovy zdrojových kódů patří mezi konkrétní, praktické kroky, které mají okamžitý přínos – nejen formální, ale i reálně provozní.
Shrnutí
IT governance není jen téma pro velké korporace nebo regulované instituce. Týká se každé organizace, která je na IT skutečně závislá. Čím dříve je nastavena, tím méně stojí – a tím větší jistotu poskytuje ve chvíli, kdy je opravdu potřeba.