Jak na ISO – krok za krokem
18.06.2015
V tomto článku názorně uvedeme jeden konkrétní případ zavádění ISO z praxe. Podobný postup lze aplikovat u většiny firem. Naše firma se zabývá dodávkou IT služeb na klíč. Jsme středně velká organizace s víceletou tradicí. Naše procesy, zejména co se týká služeb podpory koncových zákazníků, byly formalizované jen velmi zhruba, ale i tak se nacházely na poměrně vysoké standardizované úrovni.
Od začátku jsme měli podporu managementu a jasný cíl – zlepšení úrovně poskytování služeb pro vybrané procesy a jejich formalizaci získáním certifikátu ISO/IEC 20000-1:2005 (ČSN ISO/IEC 20000-1:2006). Byli jsme si od začátku vědomi, že úspěch projektu nemůže stát jen na technologii a cílech, ale hlavně na vhodně zvolených lidech pro jeho realizaci. Pokud ti klíčoví (manažeři procesů) nebudou brát přínosy za své, je projekt časem vzhledem k lidské přirozené povaze odsouzen k nezdaru.
Prvním krokem byla volba startovacích procesů a následně jejich procesních manažerů. Dále výběr externího partnera pro přípravu dokumentace a na vlastní audit. A následovala interní trpělivá evangelizace – potlačení dojmu ze zbytečné byrokracie a to zejména u pracovníků fungujících doposavad na velmi neformální bázi. Po výběru procesů jsme si uvědomili, že KAŽDÝ proces musíme nějakým způsobem přizpůsobit, to za nás žádný nástroj neudělá. Hned zpočátku jsme si zvolili omezený počet služeb – bylo třeba si uvědomit, že budeme muset každou službu podrobně popsat, sjednávat a monitorovat její kvalitu, kalkulovat její cenu a reportovat dodržení sjednaných parametrů. Při velkém počtu služeb bychom si tak způsobili nezvládnutelný problém a významné navýšení nákladů na realizaci. Do portfolia služeb jsme zařadili takové služby, které je zákazník schopen snadno identifikovat.
Dle publikovaných statistik jsou Incident, Problem a Change Management nejčastěji využívané procesy dle ITIL. U jejich kontrol převažuje roční a měsíční reporting.
Naší volbou byly tedy produkty: Poskytování služeb IT – služby Helpdesk, Hosting a Datové centrum, Dohledové Centrum, Servisní služby a Systém ITSM pro dodávky infrastruktury (Outsourcing). Technologicky se opíráme jako partner Microsoft o rodinu MS System Center řešení a částečně o produkty ATOS Origin pro Call Tracking System (samozřejmě, na trhu je podobných řešení mnoho – HP, IBM a další).
Při vlastní realizaci jsme narazili a někdy i nyní narážíme na nedostatky, kterých jsme si dříve v takové míře nebyli vědomi. Několik z nich: roztříštěná a neúplná CMDB (konfigurační databáze) bez stanovených odpovědností,zastaralé papírové manuály, malá automatizace běžných činností, nedostatečná samoobslužnost, málo vyhovující prostředky sběrů dat a reportingu, převažující soustředění lidí na operativu, nikoli na koncepci a udržitelný rozvoj.
Naopak o problému s interním vnímáním ServiceDesku jako něčeho, co musí posloužit ihned a v nejlepší kvalitě, bez ohledu na externí kontrakty, jsme věděli – absence OLA (interní dohody o úrovni služeb). Dalším cílem se ukázal ve vztahu k CMDB jako prospěšný – zmenšit vytížení klíčových IT lidí sdílením části jejich informací = snížení přetížení a jejich směrování na koncepční práci. Naplnění takovéhoto cíle lze definovat například objemem přírůstku záznamů ve znalostních a informačních databázích a růstem počtu událostí vyřešených na základě informací z těchto databází nižšími úrovněmi zákaznické podpory.
Proběhlo proškolení a následná certifikace interního zaměstnance – interního ISO auditora – na nejnutnější minimum (ITILv3 Foundation Certification).
Dále bylo nezbytné vytvořit základní dokumenty: Návod pro aplikaci normy v organizaci, Příručku ITSM Management Služeb (popis každého dotčeného procesu), dále dokumentace jednotlivých služeb obsahující vždy vstupy, výstupy, metriky a KPI a Katalog služeb.
Toto vše bylo realizováno za účasti managementu, procesních manažerů a externího partnera. Následoval interní přípravný audit pod dozorem interního auditora.
A pak konečně samotný dvoustupňový proces certifikace, tzv. audit připravenosti a poté audit shody. Oba stupně realizoval certifikační orgán EZÚ Praha.
Poučení z našeho prvního auditu bylo několik.
Malá pomůcka – pokud se vám zdá, že máte dost statistik, budete muset ještě hodně přitlačit. Dále je důležité provádětčastější průzkumy spokojenosti u odběratelů služeb. Disaster Recovery Plan a Business Continuity Plan musí být oba nejen dobře zdokumentovány, ale i doplněny o periodická „požární cvičení“. Snažte se co nejvíce zjednodušit a zprůhlednit přístup k informacím – i volbou vhodného technologického nástroje. Konfigurační prvky je nutné evidovat nejen vlastní, ale i zákazníků (pokud takové služby samozřejmě poskytujete). Ukládejte podněty pro zlepšení (Continual Service Improvement) do IIS, vynechte hodnocení podpůrných procesů a soustřeďte se na ty nosné – implementaci a podporu. Záznamy o jednáních a schůzkách by měly být nikoli jen formální ale konkrétní a kvalitně evidované a snadno dohledatelné. A co nesmí chybět, jsou periodické reporty hodnocení plnění SLA, jejich šablony a hodnocení trendů. Dalo by se pokračovat, ale pro začátek je toho až dost.
Implementace ISO 20000-1 pro jmenované služby byla interně i externě vyhodnocena jako úspěšná. Už třetím rokem jsme vždy na podzim úspěšně prošli dozorovým auditem IMS. Od 07/2011 je v platnosti ITIL 2011, kde je ještě více propojeno IT s obchodem. Zároveň je od té doby v platnosti nová verze ISO/IEC 20000-1:2011 se zpřesněním terminologie, nároků na katalog služeb a dalším vymezením požadavků na procesy.
Od začátku jsme měli podporu managementu a jasný cíl – zlepšení úrovně poskytování služeb pro vybrané procesy a jejich formalizaci získáním certifikátu ISO/IEC 20000-1:2005 (ČSN ISO/IEC 20000-1:2006). Byli jsme si od začátku vědomi, že úspěch projektu nemůže stát jen na technologii a cílech, ale hlavně na vhodně zvolených lidech pro jeho realizaci. Pokud ti klíčoví (manažeři procesů) nebudou brát přínosy za své, je projekt časem vzhledem k lidské přirozené povaze odsouzen k nezdaru.
Prvním krokem byla volba startovacích procesů a následně jejich procesních manažerů. Dále výběr externího partnera pro přípravu dokumentace a na vlastní audit. A následovala interní trpělivá evangelizace – potlačení dojmu ze zbytečné byrokracie a to zejména u pracovníků fungujících doposavad na velmi neformální bázi. Po výběru procesů jsme si uvědomili, že KAŽDÝ proces musíme nějakým způsobem přizpůsobit, to za nás žádný nástroj neudělá. Hned zpočátku jsme si zvolili omezený počet služeb – bylo třeba si uvědomit, že budeme muset každou službu podrobně popsat, sjednávat a monitorovat její kvalitu, kalkulovat její cenu a reportovat dodržení sjednaných parametrů. Při velkém počtu služeb bychom si tak způsobili nezvládnutelný problém a významné navýšení nákladů na realizaci. Do portfolia služeb jsme zařadili takové služby, které je zákazník schopen snadno identifikovat.
Dle publikovaných statistik jsou Incident, Problem a Change Management nejčastěji využívané procesy dle ITIL. U jejich kontrol převažuje roční a měsíční reporting.
Naší volbou byly tedy produkty: Poskytování služeb IT – služby Helpdesk, Hosting a Datové centrum, Dohledové Centrum, Servisní služby a Systém ITSM pro dodávky infrastruktury (Outsourcing). Technologicky se opíráme jako partner Microsoft o rodinu MS System Center řešení a částečně o produkty ATOS Origin pro Call Tracking System (samozřejmě, na trhu je podobných řešení mnoho – HP, IBM a další).
Při vlastní realizaci jsme narazili a někdy i nyní narážíme na nedostatky, kterých jsme si dříve v takové míře nebyli vědomi. Několik z nich: roztříštěná a neúplná CMDB (konfigurační databáze) bez stanovených odpovědností,zastaralé papírové manuály, malá automatizace běžných činností, nedostatečná samoobslužnost, málo vyhovující prostředky sběrů dat a reportingu, převažující soustředění lidí na operativu, nikoli na koncepci a udržitelný rozvoj.
Naopak o problému s interním vnímáním ServiceDesku jako něčeho, co musí posloužit ihned a v nejlepší kvalitě, bez ohledu na externí kontrakty, jsme věděli – absence OLA (interní dohody o úrovni služeb). Dalším cílem se ukázal ve vztahu k CMDB jako prospěšný – zmenšit vytížení klíčových IT lidí sdílením části jejich informací = snížení přetížení a jejich směrování na koncepční práci. Naplnění takovéhoto cíle lze definovat například objemem přírůstku záznamů ve znalostních a informačních databázích a růstem počtu událostí vyřešených na základě informací z těchto databází nižšími úrovněmi zákaznické podpory.
Proběhlo proškolení a následná certifikace interního zaměstnance – interního ISO auditora – na nejnutnější minimum (ITILv3 Foundation Certification).
Dále bylo nezbytné vytvořit základní dokumenty: Návod pro aplikaci normy v organizaci, Příručku ITSM Management Služeb (popis každého dotčeného procesu), dále dokumentace jednotlivých služeb obsahující vždy vstupy, výstupy, metriky a KPI a Katalog služeb.
Toto vše bylo realizováno za účasti managementu, procesních manažerů a externího partnera. Následoval interní přípravný audit pod dozorem interního auditora.
A pak konečně samotný dvoustupňový proces certifikace, tzv. audit připravenosti a poté audit shody. Oba stupně realizoval certifikační orgán EZÚ Praha.
Poučení z našeho prvního auditu bylo několik.
Malá pomůcka – pokud se vám zdá, že máte dost statistik, budete muset ještě hodně přitlačit. Dále je důležité provádětčastější průzkumy spokojenosti u odběratelů služeb. Disaster Recovery Plan a Business Continuity Plan musí být oba nejen dobře zdokumentovány, ale i doplněny o periodická „požární cvičení“. Snažte se co nejvíce zjednodušit a zprůhlednit přístup k informacím – i volbou vhodného technologického nástroje. Konfigurační prvky je nutné evidovat nejen vlastní, ale i zákazníků (pokud takové služby samozřejmě poskytujete). Ukládejte podněty pro zlepšení (Continual Service Improvement) do IIS, vynechte hodnocení podpůrných procesů a soustřeďte se na ty nosné – implementaci a podporu. Záznamy o jednáních a schůzkách by měly být nikoli jen formální ale konkrétní a kvalitně evidované a snadno dohledatelné. A co nesmí chybět, jsou periodické reporty hodnocení plnění SLA, jejich šablony a hodnocení trendů. Dalo by se pokračovat, ale pro začátek je toho až dost.
Implementace ISO 20000-1 pro jmenované služby byla interně i externě vyhodnocena jako úspěšná. Už třetím rokem jsme vždy na podzim úspěšně prošli dozorovým auditem IMS. Od 07/2011 je v platnosti ITIL 2011, kde je ještě více propojeno IT s obchodem. Zároveň je od té doby v platnosti nová verze ISO/IEC 20000-1:2011 se zpřesněním terminologie, nároků na katalog služeb a dalším vymezením požadavků na procesy.