Data Quality CZ - portál věnující se tématu kvalitních dat

Relevantní normy pro oblast kvality dat a informací

[1.11.2013] D. Pejčoch

Cílem tohoto článku je seznámení s výsledky mé analýzy aktuálního stavu problematiky řízení kvality dat a informací na základě studia relevantních norem a standardů.

Stav ve světě

Z celosvětového pohledu existuje celá řada právních norem, které do určité míry definují požadavky na kvalitní dat. V rámci Evropské unie lze zmínit EU Data Protection Directive (95/46/EC) , z níž mimo jiné vychází i zákon 101/2000 Sb. o ochraně osobních údajů. Zárodek této normy spadá do roku 1980, kdy OECD vydala tzv. „Recommendations of Council Concerning Guideliness Governing the Protection of Privacy and Trans-Border Flows of Personal Data“ . Součástí této normy bylo 7 základních principů, které později převzala i zmíněná direktiva: (1) informace subjektu o sběru dat (Notice), (2) použití dat pouze pro účel pro který byla pořízena (Purpose), (3) zabezpečení uchování dat (Security), (4) zveřejnění dat pouze se souhlasem subjektu (Consent), (5) subjekty mohou přistupovat k datům a měnit je (Access), (6) existence nástrojů subjektu pro dovolání se odpovědnosti pořizovatelů dat (Accountability), (7) subjekty by měly být informovány o tom, kdo o nich data sbírá (Disclosure). Implementací direktivy 95/46/EC ve Spojeném království je zákon Data Protection Act (UK, 1998). Vymezuje pravidla zpracování osobních dat žijících osob, přičemž se odkazuje na základní principy ochrany dat definované direktivou.

Od roku 2001 je ve Spojených státech platná norma Data (information) Quality Act (viz např. (OMB, 2013)). Požaduje po federálních úřadech, aby nastavili návody zajišťující maximalizaci kvality, objektivity, užitečnosti a integrity informací. Požaduje vytvoření mechanismů pro opravu údajů dotčených osob, reporting počtu a povahy stížností na informace poskytované příslušným úřadem a reporting formy nápravných opatření vlivem stížností.

V oblasti bankovnictví je rozšířená norma New Basel Capital Accord, známá jako Basel II. Aktuálně vzniká její nová verze, Basel III. Norma je založena na třech pilířích: (1) Požadavek na minimální kapitál definující pravidla pro výpočet požadovaného kapitálu a metody pro měření rizik (úvěrové, tržní, provozní), (2) Proces dozorného posouzení definující činnost regulátora, stanovení limitu kapitálové přiměřenosti jednotlivých bank a (3) Požadavky na tržní disciplínu upravující též poskytování informací veřejnosti. V rámci definice požadavků na model kreditního rizika norma vymezuje též požadavky na datovou kvalitu. Data mají podle (Basel Committee, 2004) být správná a „odpovídající svému účelu“. Norma upozorňuje na nutnost identifikace volatility dat a auditu správnosti, úplnosti, konzistentnosti, aktuálnosti a důvěryhodnosti datových zdrojů. Požaduje též uchovávání historických dat a jejich použití v rámci vytvářených modelů. Obdobu Basel II v představuje v případě pojišťoven norma Solvency II (resp. vznikající verze III). Tato regulace stejně jako Basel II uvažuje v rámci System of Governance řízení dat jako jednoho z největších operačních rizik firmy. Na úrovni Level1 2009/138/ES hovoří též o úplnosti, přesnosti a vhodnosti použitých údajů pro interní model. Na dalších úrovních bude zřejmě poněkud sdílnější. Level 2 (Implementing Measures) i Level 3 (doporučení) však dosud nemají svou konečnou podobu. Zprostředkovaně o požadavcích Solvency II na datovou kvalitu píše Moody’s Analytics (2011). Zdůrazňuje význam kvalitních dat zejména pro interní modely. Zmiňuje zjeména tři vlastnosti: vhodnost, úplnost a správnost. Stejně tak jako v případě Basel II je kladen důraz i na uchování historických dat. Moody’s Analytics (2011) též zmiňuje význam porovnávání dat s externími zdroji za účelem ověření jejich konzistentnosti. S odvoláním na materiály CEIOPS (Committee of European Insurance and Occupational Pensions Supervisors) uvádí požadavky na transparentnost, granularitu, sběr historických dat a dohledatelnost dat. Obecně lze dle mého názrou doporučení CEIOPS ohledně datové kvality považovat za best practices z oblasti pojišťovnictví. V tomto směru Moody’s Analytics (2011) odkazuje na podrobnější zdroje CEIOPS (2009a), (2009b) a (2009c).

Sarbanes-Oxley Act (SOX), celým názvem The Public Accounting Reform and Investor Protection Act (2002) zkráceně pojmenovaný po svých tvůrcích vznikl jako reakce na skandály spojené s podvodnými účetními praktikami velkých firem. Norma se zaměřuje na průhlednost a odpovědnost za účetní informace firem. Formuluje nové požadavky na zaznamenávání, sledování a zveřejňování finančních informací. Je specifická v tom symslu, že je relevantní pro všechny zástupce amerických firem registrovaných u Security and Exchange Commision, tzn. i jejich zahraniční pobočky v ČR. Norma ustanovuje jakousi„dozorčí radu nad účetnictvím“ a definuje následující požadavky: (1) čtvrtletní certifikaci finančních reportů s uvedením všech odhalených nedostatků kontrol a souvisejících trestných činů, (2) roční certifikace interních kontrol managementem, nezávislé ověření auditorem, čtvrtletní kontrolu aktualizací / změn a (3) monitorování provozních rizik, hlášení významných událostí a vyvozování důsledků v reálném čase.

HIPAA (Health Insurance Portability and Accountability Act) je zákon schválený v roce 1996 ve Spojených státech. Kromě jiného se zaměřuje na bezpečnost a utajení dat o zdravotním stavu pacientů.

Z pohledu auditu kvality dat mají význam ještě dva dokumenty publikované ISACA (nformation Systems Audit and Control Association) Jsou jimi standard S7 – Reporting (ISACA, 2004) a návod G20 – Reporting (ISACA, 2003, 2010) upravující náležitosti zprávy auditora. Podrobně budou tyto dokumenty popsány v rámci kapitoly věnující se auditu datové kvality.

V současné době vzniká nová ISO norma ISO 8000 Data Quality. Dosud publikované dokumenty se zabývají především kvalitou master (kmenových) dat. Vedoucí projektového týmu uvádí v (Benson, 2013) následující oblasti zaměření této normy:

Norma má vazbu na ISO 22745 Exchange of Quality Data, podle (Benson, 2009) definující mimo jiné formu požadavků na data a formát pro výměnu kódovaných dat, a ISO 29005 definující formát identifikátorů pro elementy slovníku konceptů. Z celé normy je dle mého názoru cítit fakt, že původním záměrem bylo definovat standard pro výměnu dat mezi dodavatelskými řetězci. Na tuto skutečnost upozorňuje také např. (West, 2009). Osobně se domnívám, že mělo zůstat u původního záměru a iniciativa neměla přerůst v normu plošně aplikovatelnou napříč odvětvími. Dle mých dosavadních zkušeností se oblast datové kvality v současné době potýká se základním problémem, že kvalita je chápána pouze z pohledu nákladů. K tomuto trendu dle mého názoru přispěla především řada neúspěšných a předražených projektů. Chystaná ISO norma tak může doslova představovat konečný hřebík do rakve. Na jednu stranu lpí na nesmyslném přiřazování jedinečných standardozovaných identifikátorů. Na druhou stranu zcela pomíjí celou řadu důležitých vlastností dat a sleduje pouze tři z nich (původ, správnost a úplnost).

Stav v ČR

V prostředí České republiky neexistuje samostatná norma vyžadující kvalitu dat, jako je tomu např. v USA, nicméně určité požadavky na úroveň datové kvality obsahuje celá řada norem specializovaných na konkrétní oblasti. Bohužel na celostátní úrovni je problematika kvality dat spíše přehlížena. Na absenci chápání významu kvality dat ve státní správě upozorňuje např. Král a Žemlička (2006). Z pohledu auditu kvality dat je významný Zák. 101/2000 Sb. o ochraně osobních údajů. V rámci auditu by mělo být realizováno též souladu (angl. compliance) s touto normou. Jak již název napovídá, zákon definuje práva a povinnosti při zpracování osobních údajů. Stanovuje podmínky, za nichž se uskutečňuje předání údajů do jiných států, zřizuje Úřad pro ochranu osobních údajů a definuje jeho organizaci a činnost. Vymezuje též pojmy jako je osobní údaj, citlivý údaj, anonymní údaj, subjekt údajů, zpracování, shromažďování, uchování, blokování a likvidace osobních údajů. Definuje práva a povinnosti správců a zpracovatelů osobních údajů.

Další zákonnou normou relevantní pro řízení datové kvality (opět z pohledu nutnosti souladu s touto normou) je zák. 480/2004 Sb. o některých službách informační společnosti. Definuje odpovědnost, práva a povinnosti osob, které poskytují služby informační společnosti. Kromě toho vymezuje odpovědnost, práva a povinnosti osob, které poskytují a šíří obchodní sdělení a zabývá se i používáním elektronických prostředků k šíření nevyžádaných obchodních sdělení. Z pohledu auditu datové kvality by jí bylo možné aplikovat např. pro ověřování existence příznaku o souhlasu s oslovováním a míry tohoto souhlasu uvedeného v klientské databázi. Spíše než o compliance se jedná o ujištění o dodržování best practices.

Zákon 412/2005 Sb. o ochraně utajovaných informací a bezpečnostní způsobilosti vymezuje pojmy utajovaná informace, stupně utajení (přísně tajné, tajné, důvěrné, vyhrazené). Má tedy opět význam hlavně z pohledu auditu datové kvality a kvality informací, ale i z pohledu Data Governance, která tyto kategorie zavede a nastaví k nim relevantní procesy.

Zákon 93/2009 Sb. o auditorech v §20 Zpráva auditora definuje náležitosti auditorské zprávy v případě finančního auditu. Jak bude ukázáno v samostatné kapitole (12.6), některá ustanovení tohoto paragrafu je možné převzít jako best practices pro definici struktury zprávy auditora v případě auditu datové kvality. Další uvedené normy mají význam především z pohledu obohacování dat o externí zdroje a valiaci proti nim. Zák. č. 111/2009 Sb. o základních registrech, novelizovaný zák. 100/2010 Sb. a 424/2010 Sb, definuje obsah základních registrů, informačního systému základních registrů, informačního systému územní identifikace. Vymezuje práva a povinnosti související s vytvářením, užíváním a provozem základních registrů a zřizuje Správu základních registrů se sídlem v Praze. Zákon 365/2000 Sb. o informačních systémech veřejné správy a o změně některých dalších zákonů definice např. pojmy číselník, datový prvek, apod. Specifické požadavky na průkaznost účetních dat klade zákon 563/1991 Sb., o účetnictví.

V ČR je aplikována celá řada mezinárodních norem platných pro specifická odvětví přímo či nepřímo vyžadujících určitou úroveň kvality dat. Jako příklad mohu uvést pro oblast bankovnictví Basel II nebo Solvency II pro pojišťovnictví. V oblasti farmacie definují požadavky na řízení operačních rizik nařízení Státního úřadu pro kontrolu léčiv (SÚKL), konkrétně (SÚKL, 2008), (SÚKL, 2010) a (SÚKL, 2011).

Použitá literatura

Komentáře ke článku

Stránka byla naposledy aktualizována dne 4.5.2015
Powered by HOLOPAGE
©2011 - 2021 D. Pejčoch