Certifikace ISO kvalitu automaticky nezaručují

Mnohé IT firmy se honosí vlastnictvím různých certifikátů kvality a používají je jako důkaz spolehlivé dodávky IT služeb a produktů. Skutečnost je však mnohdy jiná. Normy kvality se od sebe dost liší, a je proto dobré se v nich dobře orientovat. Vlastnictví ISO certifikace navíc automaticky negarantuje, že se IT firma opravdu drží procesů zajištujících dodávku kvalitních služeb. Ty totiž u některých dodavatelů IT služeb přestanou fungovat v okamžiku, kdy certifikační autorita opustí dveře firmy.

Přístup společností podnikajících v oblasti IT k zavádění různých norem a metodologických rámců se může do značné míry lišit podle inovačních strategií volených jejich managementem. Poměrně častou je certifikace IT firem v oblasti managementu kvality dle ISO 9001:2000.
Zavedení QMS (Quality Management System) a jeho certifikaci dle ISO 9001:2000 si totiž postupně vyžádal trh, a to především veřejné obchodní soutěže, kde se požadavek na tento certifikát objevuje jako běžná součást zadávacích podmínek. Pokud však chce firma uspět na otevřeném evropském IT trhu, musí se připravit nejen na zavádění nových technologií do své nabídky, ale i na aplikaci oborových certifikací a metodologií, které zákazníkovi skýtají větší jistotu jednotného přístupu, než poměrně všeobecná norma ISO 9001:2000.
Zásadním problémem této normy je její otevřenost pro různé podnikatelské oblasti. Management kvality dle ISO 9001:2000 může být zaváděn jak v IT společnostech, tak i v ostatních oblastech podnikání, od těžby nerostů, přes zpracovatelský průmysl až po poskytování služeb. Systém je do té míry všeobecný, že 10 vedle sebe stojících IT firem certifikovaných na systém managementu kvality může představovat 10 různých metodologických rámců poplatných nejen prostředí daného podniku, ale i práci konzultačních společností, které systém zavádějí.
Níže uvádíme základní body přístupů dle norem ISO 9001:2000, ISO 20000:2004 a metodologického rámce ITIL.

Základem je ISO 9001:2000

Základním předpokladem zavedeného systému řízení kvality je popis a jednoznačná definice podnikových procesů – stanovení, co má být vykonáno, jak, kdy a kým, s využitím jakých zdrojů (vstupů) a s jakými výstupy. ISO 9001:2000 podporuje procesně orientovaný systém managementu kvality založený na metodologii PDCA, tedy „Plánuj – Dělej – Kontroluj – Jednej“.
ISO 9001:2000 také zavádí v oblasti měření, analýzy a zlepšování atributy „řízení neshody (řízení neshodného produktu)“, „opatření k nápravě“ a „preventivní opatření“. Analogické prvky se objevují také v metodologickém rámci ITIL a v normě ISO 20000.

Základem by měla být metodologie ITIL (IT Infrastructure Library)

Posláním procesně orientovaného metodologického rámce ITIL bylo v 80. letech minulého století sjednotit přístup v poskytování IT služeb pro státní sektor ve Velké Británii s využitím nejlepších zkušeností z oboru takzvaných „best practices“. V polovině 90. let se ITIL stal uznávaným oborovým standardem, který především sjednotil názvosloví v oblasti IT služeb a umožnil tak snazší porozumění jednotlivým termínům na obou stranách dodavatelsko-odběratelského řetězce.
ITIL předpokládá vzájemnou rovnováhu mezi třemi nezbytnými součástmi pro řízení IT služeb – vyškolenými lidmi, dobře navrženými procesy a implementovanými podpůrnými nástroji. Není možné dosáhnout dobrých výsledků, jestliže je některá část vynechána nebo opomenuta. Například nedostatečné podpůrné nástroje pro řízení incidentů vedou k vyšším nárokům na lidské zdroje v oblasti všech stupňů podpory.
Metodologie ITIL definuje základní procesy v oblasti managementu IT služeb, například přesně charakterizuje význam pojmů Incident, Problem či Change Management. Dále rozděluje ITIL tým servisní podpory na více úrovní – obvykle na první, druhou a třetí úroveň. Mezi nimi dochází k takzvaným funkčním eskalacím, což znamená, že v okamžiku, kdy si podpora na některé z úrovní neví s požadavkem zákazníka rady, tak jej předává kolegům s vyšší úrovní znalostí. První a základní úrovní podpory je klasický service desk, který je zároveň jediným místem, kudy vstupují do IT organizace požadavky zákazníka.

Profíci používají normu ISO/IEC DIS 20000:2004

Jedná se o normu „Managementu služeb IT“, která vychází z metodologického rámce ITIL, převedeného původně do podoby normy BS 15000 ve Velké Británii. Norma využívá obdobně jako ISO 9001:2000 procesního rámce PDCA a odkazuje se také na britské normy, například BS 15000 či BS 7799 – řízení bezpečnosti informací. S metodologickým rámcem ITIL je norma ISO 20000 téměř ve shodě, respektive je určitým kompilátem tohoto souboru obdobně jako BS 15000 a navíc s drobnými odlišnostmi. Obsahuje například část věnovanou Service Reportingu, který není v ITIL stanoven jako samostatný proces. Na rozdíl od normy ISO 9001:2000 se ale nejedná o normu pro „systémy řízení“, ale spíše o produktově orientovanou normu. Produktem je z pohledu normy „IT služba“ poskytovaná koncovému uživateli.
Zavedení managementu IT služeb předpokládá i současnou implementaci vhodných podpůrných nástrojů. Ty využívají konfigurační databáze s definovanými vztahy mezi konfiguračními položkami – jakými jsou například hardware, software či dokumentace – a také parametrizované smlouvy o úrovni dodávaných služeb, takzvané SLA – Service Level Agreement. Ty přesně určují, v jaké kvalitě budou služby dodávány.
Popis služeb v SLA převedený do systémových parametrů umožňuje například on--line reporting řešených incidentů zákazníka a navazující eskalaci jednotlivých stavů v souladu s parametry dohodnutými ve smlouvě. Zákazník tak má vždy dokonalý přehled, jak jsou objednané služby naplňovány a jestli jsou dodržovány dohodnuté podmínky.
Kromě funkční eskalace je také možné nastavit i hierarchickou eskalaci v případě dosažení určité hodnoty u sledovaných parametrů jakými jsou odezva (response) a obnova (recovery). Pokud má například zákazník dohodnuto obnovení služby do 8 hodin od nahlášení incidentu, je možné problém eskalovat v určitých časových periodách zasláním upozornění managementu. Po uplynutí 4 hodin třeba u manažera příslušného technika zodpovědného za obnovu, po 6 hodinách u manažera service desku a po 8 hodinách třeba na samotného ředitele společnosti. Nesplnění SLA totiž může mít pro společnost značný negativní dopad kvůli možné penalizaci za nesplnění SLA. Zároveň se tím zbytečně oslabuje důvěra zákazníka v dodavatele služeb.
Na rozdíl od metodologického rámce ITIL je norma ISO 20000 koncipována jako soubor doporučení, která musí organizace a poskytovatel naplnit, aby dosáhli shody s normou. Norma již ale neposkytuje příklady postupů a interakce jednotlivých procesů včetně vývojových diagramů naznačujících ideální průběh řešených oblastí. Tyto odzkoušené postupy jsou obsaženy v metodologii ITIL, na kterou se norma odkazuje. Norma například stanovuje, že musí být stanoveny postupy pro sledování a řízení incidentů či pro identifikaci, minimalizaci nebo odstranění dopadů incidentů a problémů.
Určitá podoba s normou ISO 9001:2000 může být dohledána například mezi řízením incidentů a řízením neshodného produktu. Pojmy neshoda a incident vyjadřují obdobný stav, kdy není produkt nebo služba v souladu s očekáváním zákazníka.

Maximální kvalitu zaručuje norma 6Sigma (Six Sigma)

Six Sigma představuje statistickou koncepci s procesně orientovanou metodologií, která se vztahuje k neustálému zlepšování procesů prostřednictvím jejich standardizace a minimalizace výskytu chyb či defektů v jejich průběhu. Jestliže proces funguje na úrovni Six Sigma, proměnlivost je tak malá, že výsledné produkty nebo služby jsou v 99,9997% bez chyb či defektů.
Norma Six Sigma připouští čtyři defekty na milion příležitostí pro jejich vznik. Místem vzniku defektu z pohledu Six Sigma může být jakýkoliv procesní krok, přičemž jeden proces může generovat více chyb. Poměr není jeden proces k jedné chybě. Možným řešením, jak eliminovat chyby v procesu, může­ tedy být i snížení počtu procesních milníků, a tím i zjednodušení a zefektivnění procesu dodávky produktu či služeb.
Metodologie Six Sigma byla zavedena společností Motorola Corporation v osmdesátých letech minulého století a následně byla převzata i dalšími výrobci IT. Na rozdíl od rámce ITIL, který je zaměřen na poskytování IT služeb, Six Sigma byla dosud využívána především v oblasti automobilového průmyslu. Metodologie klade určité nároky i na investice do kvalifikace lidských zdrojů, neboť předpokládá realizaci projektů prostřednictvím Six Sigma vyškolených odborníků, kteří jsou v organizaci strukturováni do tří základních úrovní:
Yellow Belt – specialista podílející se na 6Sigma projektech, neřídí projektové týmy.
Green Belt – řídí jednotlivé 6Sigma projektové týmy.
Black Belt – nejvyšší úroveň, obdoba manažera kvality, zastřešuje několik 6Sigma projektů.

ISO není automaticky receptem pro získání kvality

Uživatelé IT produktů a služeb by měli požadovat, aby byl jejich dodavatel nejen „ISO certifikován“, ale především aby byl reálně schopen poskytovat IT služby na dohodnuté úrovni. Dodavatel musí nabídnout jasné kontrolní mechanismy, které kvalitu dlouhodobě ohlídají. Vlastnictví ISO certifikace totiž není automaticky zárukou toho, že se IT firma opravdu drží procesů, které zajišťují dodávku kvalitních služeb. Mnohdy jsou bohužel ISO certifikáty získávány značně neprůhledným způsobem. Případné dodržování mechanismů kontrolujících kvalitu skončí v okamžiku obdržení příslušné certifikace. Takový certifikát kvality má pak pro zákazníka hodnotu papíru, na kterém je vytištěn – tedy velmi nízkou.
Zákazník by od dodavatele IT služeb měl namísto přehlídky různých certifikátů požadovat, aby mu předvedl, jak v praxi funguje systém, který monitoruje kvalitu a úroveň dodávky služeb. Dodavatel musí být schopen například pravidelně vykazovat, jak realizace služeb probíhá a zda se daří naplňovat smluvní úroveň služeb (SLA). Normy ISO sice dávají firmám návody, jak dosahovat vysoké kvality, ale v praxi již není zaručena kontinuální kontrola, zda jsou tyto návody využívány. Zákazník proto musí být nanejvýš obezřetný.