Rozmowa z Markiem Ujejskim, zastępcą dyrektora Biura Informatyki w Narodowym Funduszu Zdrowia.

NFZ to jedna z pierwszych dużych instytucji centralnych, która zdecydowała się na pełny niezależny audyt. Po co?

Szacuję, że ok. 80% działań i operacji dokonywanych przez NFZ dotyka w jakimś stopniu informatyki. Potrzebowaliśmy obiektywnego oglądu sytuacji. I to nie audytu samych systemów, ale takiego z wyższego pułapu, z lotu ptaka.

Jakie problemy napotyka tego typu formalna analiza w jednostkach administracji?

W instytucjach publicznych dość wyraźnie można odczuć zmęczenie ciągłymi kontrolami. Zgodnie z prawem podlegamy stałemu nadzorowi ze strony Najwyższej Izby Kontroli i siłą rzeczy każdy audyt utożsamiany jest z kontrolami NIK-u.

Kiedy wspomnieliśmy o planowanym audycie, usłyszeliśmy głosy mówiące: "Znowu nas będą kontrolować". Bardzo trudno było nam przekonać zespół, że celem audytu nie jest kontrola i że w związku z tym powinni mówić wprost, jak widzą pewne sprawy.

Właśnie po to zorganizowaliśmy warsztaty, na których przedstawiliśmy założenia całego projektu. A i tak nie udało nam się uniknąć telefonów z pytaniami: "Przyjechali do nas audytorzy! Co im mamy mówić?".

To wyraz pewnego niezrozumienia...

I pewne zagrożenie dla organizacji. Czasem audyty odbierane są jako próba odgrodzenia się od użytkowników procesami i procedurami. Dlatego tak ważne dla nas było, żeby na każdym kroku podkreślać, iż głównym celem audytu nie jest kontrola, a ocena, nie tworzenie procedur, a osiągnięcie pewnego celu biznesowego.

Czy był Pan zaskoczony efektami tego audytu?

I tak, i nie. Pewien obraz dojrzałości procesowej organizacji oczywiście miałem. Nie miałem jednak pojęcia, co powiedzą o nas ludzie. Audyt okazał się taką szczegółową fotografią tego, jak nas widzą. Pokazał pozorny obraz wyalienowania informatyki w funduszu, w którym użytkownik skupiony jest na terminowej realizacji zadań związanych z planowaniem i rozliczeniami usług medycznych, a dodatkowo przy dużym reżimie czasowym musi modyfikować przyjęte rozwiązania organizacyjne i systemowe.

A jak przyjęła to reszta organizacji?

Wyniki przedstawione prezesom zrobiły pewne wrażenie. Pokazały, jak skomplikowaną maszynerią jest IT i z jaką złożonością problemów się spotyka. Syntetyczne wyniki audytu trafiły także do MSWiA poprzez prezentację zaktualizowanej wersji "Strategii wykorzystania zasobów informacyjnych przez NFZ", w związku z potrzebą uzyskania ich opinii o zgodności kierunków opisanych w tym dokumencie z Planem Informatyzacji Państwa. Chcieliśmy pokazać, na jakim etapie zaawansowania prac nad systemami jesteśmy i uświadomić, do czego mogą doprowadzić ewentualne zmiany strategii w zakresie informatyzacji.

Nie obawiają się Państwo, że taka otwartość może być wykorzystana przeciwko Wam? Łatwo teraz powiedzieć, że w pewnych obszarach procesy NFZ są niedopracowane...

Jeśli ktoś będzie chciał nas zaatakować, zawsze znajdzie pretekst. Mamy nadzieję, że tego typu działania staną się dobrym obyczajem w całej administracji. Zwłaszcza że wyniki audytu mogą być wykorzystane w różnoraki sposób. Mogą przydać się organom współpracującym i nadzorującym, a ewentualnie naszym następcom. W naszym kraju przyjął się zły zwyczaj wyrzucania do kosza wszystkiego, co zrobili poprzednicy. Raport audytorów jest zobiektywizowanym dowodem, że może nie wszystko było złe.

Czy COBIT przystaje do realiów polskiej administracji?

Został stworzony na potrzeby amerykańskiej administracji, więc przystaje dość dobrze. Choć oczywiście trzeba mieć świadomość, że w przypadku administracji nie ma sensu doprowadzać do doskonałości każdego z procesów. Najważniejsze jest stworzenie dla nich odpowiednich procedur. Nie można także traktować COBIT jako zamkniętej całości. Warto pochylić się nad procesami i dokonać ich hierarchizacji. Podobnie należy postępować z wynikami audytu. Mają one charakter rekomendacji, a nie nakazu. Warto więc traktować je selektywnie.

Rozmawiał Antoni Bielewicz