V oblasti řízení služeb ICT se již dlouhou dobu v praxi vychází z postupů shrnutých v publikační řadě ITIL, která vznikla na základě praktických zkušeností firem v oblasti informačních technologií. Mezinárodním standardem, v rámci kterého jsou shrnuty základní postupy ITIL do standardizovaných kritérií, je norma ISO/IEC 20000.






Stejně jako v případě automobilového průmyslu je specifikace TS 16949 zpřesněním a zpřísněním systémových norem, především ISO 9001, ušitým na míru potřebám tohoto odvětví, je norma ISO/IEC 20000 podobným dokumentem pro služby IT.
Obrázek 1 ukazuje charakteristické procesy, které jsou vždy řízeny v rámci poskytování služeb IT. Tyto procesy jsou běžně využívány při poskytování IT služeb jak v IT firmách, kde mají svou charakteristickou terminologii, využívanou jen v tomto odvětví. Analogické procesy však také můžeme nalézt při interním poskytování IT služeb v jakékoli firmě. Norma ISO/IEC 20 000 definuje pro tyto procesy velmi jasná pravidla a je tedy dobrou oporou pro vedení auditu. Jasně říká, kde má být dokumentovaný postup, kde je povinný záznam a stanovuje jejich povinný obsah. Právě na otázky hloubky přiměřeného plnění toho či onoho prvku mohou být v rámci posuzování podle ISO 9001 často různé názory, především mezi auditovaným a auditorem. Tato norma však řadu kritérií pro tuto oblast činnosti zpřesňuje tím, že má v sobě to rozhodující „musí“.

Požadavky ISO 20 000

Co všechno tedy organizace, která chce získat certifikát podle této normy, v rámci svých procesů musí? Začněme posouzením samotné implementace systému. Již zde nalezneme detailní požadavky, které se v mnoha firmách jen těžko dohledávají. Z hlediska povinně řízené dokumentace organizace musí mít především:

• dokumentované politiky a plány managementu služeb,
• dokumentované dohody o úrovni služeb,
• dokumentované procesy a postupy požadované touto normou,
• záznamy požadované touto normou

Musí být stanoveny postupy a odpovědnosti pro tvorbu, přezkoumání, schvalování, udržování, rušení a řízení různých typů dokumentů a záznamů. Musí mít rovněž stanoveny úlohy a odpovědnosti v rámci všech procesů uvedených v obrázku, včetně dokladů o proškolení a dostatečné kvalifikaci k jejich vykonávání.
Samotný proces plánování v rámci řízení vlastního podnikání i každé poskytované služby má deset kritérií, která musí být doložena postupem, příkazem nebo záznamem, uspořádaným do strukturovaného plánu.
Proces implementace přináší i další nekompromisní „musí“. Uveďme alespoň některá z nich (celkem je jich devět):

• musí být transparentní přidělování zdrojů a rozpočtů jednotlivým položkám plánu,
• musí být identifikována rizika,
• musí existovat zprávy o skutečném plnění plánů.

To vše lze v rámci auditu velmi snadno prověřovat, pokud to ovšem skutečně existuje.


Obr. 1: Nejdůležitější řízené procesy v rámci služeb IT

Dalším systémovým požadavkem je monitorování, měření a přezkoumávání. Tento prvek se velmi silně opírá o kvalitu vnitřních auditů a známý prvek přezkoumání vlastní schopnosti managementu.
V rámci plnění systémových norem je mnohdy sporné plnění požadavku na neustálé zlepšování. Zatímco norma ISO 9001 tento požadavek pokrývá několika řádky poměrně neutrálního textu, norma ISO/IEC 20000 zde svoje „musí“ prosazuje hned osmi konkrétními požadavky, které je třeba velmi přesně prokázat pomocí důkazů.
Ukažme si v následující tabulce alespoň náznakem míru požadavků pro vybrané procesy uvedené v obrázku 1.

Čl. normy	Proces	Charakteristická aplikace	Požadavek na dokumentaci	Požadavek na záznamy
6.1	Management úrovně služeb	Dohody SLA	SLA je řízený dokument	Záznamy z monitoringu, vazba na zlepšování
6.2	Podávání zpráv	Pravidelná komunikace zákazník dodavatel	Forma zprávy musí být definována v SLA, její obsah je předepsán	Zprávy uložené na předepsaném místě
6.3	Management dostupnosti a kontinuity	Úroveň dostupnosti je zpravidla v SLAŘízení kontinuity vychází z analýzy rizik	Musí být identifikováno např. v SLAMusí být metodika pro analýzu rizikPro největší rizika musí být plán kontinuity (řízený dokument)	Monitoring Analýza rizik
6.4	Rozpočtování a účetnictví	Musí být transparentní proces rozpočtování a účetnictví		Položky musí být jednoduše dohledatelné
6.5	Management kapacit	Musí existovat proces plánování kapacit včetně odpovědné osoby, což je v současné době pro mnohé podniky problém	Musí existovat kapacitní plán, včetně metodik, postupů a technik pro monitorování	Záznamy z monitorování
6.6	Management bezpečnosti informací	Nejlépe je aplikovat ISO/IEC 27001	Musí existovat bezpečnostní politika Musí existovat postup pro analýzu rizik Musí existovat plán zvládání rizik – tzv. bezpečnostní opatření (včetně stanoveného povinného monitoringu)	Musí existovat analýza rizik Musí existovat povinné záznamy z monitoringu Musí existovat záznamy o incidentech
7.1	Sledování a udržování vzájemných vztahů	Je to analogie řízení obchodování a monitorování spokojenosti zákazníků, která má opět stanovená kritéria	Musí identifikovat a dokumentovat zainteresované strany Musí existovat postup na vypořádání stížností Musí být přidělena role odpovědnosti za kontrolu spokojenosti	Záznamy o reklamacích a jejich vypořádání Záznamy ze zpětné vazby zákazníků Důkazy o zlepšování na základě podnětů
7.2	Management dodavatelů	Musí existovat manažer pro smlouvy s dodavateli (služeb) Přesně jmenované role ve vztahu ke každému dodavateli Formální proces pro řešení sporů	Dokumentované procesy managementu dodavatelů SLA s dodavateli jsou řízený dokument Musí existovat postup pro vypořádání ukončení služeb nebo převod na jiný subjekt	Monitorování výkonnosti dodavatele
8.1	Management incidentů	Typickým řešením je dobře organizovaný helpdesk	Musí existovat postup pro řízení incidentů (Viz známé řízení neshodného výrobku	Všechny incidenty musí být zaznamenány včetně řešení
8.2	Management řešení problémů	Typickým řešením je „Nápravné opatření“	Musí existovat dokumentovaný postup pro eskalování incidentu, který nelze jednoduše řešit do řešení problému. Postupy pro management incidentů a management problémů jsou odlišné	Záznam z řešení problémů
9.1	Management konfigurace	Musí existovat politika, stanovující položky konfigurace	Samotný postup managementu konfigurace má mnoho aspektů a je poměrně složitý, určité postupy musí být definovány	Identifikace položek konfigurace a jejich záznamy v databázi managementu konfigurace Zprávy z auditů konfigurace
9.2	Management změn	Aplikace velmi důsledného změnového řízení v rámci předepsaných dokumentů	Dokumentovaný postup, který přesně definuje odpovědnosti a postupy uvolňování změn	Doklady, předepsané postupem:vstupy pro změny,návrhy řešeníschválení
10	Release management	Principy přecházení jednotlivých návrhů nových nebo změněných řešení do procesu poskytování služby	Dokumentované zásady pro jednotlivá „release“	Záznam o naplnění zásad uvolňování akceptační testyzáznamy o problémech při „release“

Jak plyne z tabulky, jejímž úkolem nebylo vyčerpat všechny konkrétní a konkretizující požadavky normy, ale ukázat na charakteristickou konkrétnost požadavků v rámci posuzování procesů IT, jsou požadavky v rámci auditování služeb IT poměrně jasně definovány, takže audit může být velmi korektní ke všem zúčastněným. Rozhodně může dát velmi dobré porovnání, na jaké úrovni se organizace poskytující služby nachází.

Přínosy certifikace

Jak víme, v řadě firem prošli pracovníci oddělení IT školením ITIL, což představuje certifikaci jednotlivce (ITIL Foundation, ITIL Practitioner, ITIL Service Manager), a tím je potvrzena jejich znalost a praktické zkušenosti s určitým procesem. Podle normy ISO 20000 jsou však certifikovány organizace. Tedy ne pouze znalosti jednotlivce, ale skutečná implementace procesů a jejich fungování, což je nezávisle ověřováno třetí stranou, v tomto případě akreditovanou certifikační společností.
Pro organizace může implementace normy ISO 20000 znamenat:

• standardizací procesů a zefektivnění činnosti při poskytování IT služeb,
• řízení IT služeb od strategie k vlastní úrovni IT služeb,
• minimalizací výpadků s podstatným zvýšením kvality IT podpory a dostupnosti IT služeb,
• standardní procesy umožňující rychlé přizpůsobení IT změnám v podnikání nebo rozdílným požadavkům zákazníků,
• získání konkurenční výhody před ostatními poskytovateli IT služeb,
• zefektivnění svého vlastního „core businessu“.

Tato norma může být může být použita:

• firmami, které vstupují do výběrových řízení se svými službami,
• firmami, které vyžadují důsledný přístup od všech poskytovatelů služeb v dodavatelském řetězci,
• poskytovateli služeb pro benchmarking jejich managementu služeb IT,
• jako základ ohodnocení, které může vést k formální certifikaci,
• organizaci, která potřebuje prokázat schopnost poskytovat služby, které splňují požadavky zákazníků,
• organizací, která usiluje o zlepšení služeb pomocí efektivní aplikace procesů pro monitorování a zlepšování kvality služeb.

Certifikace ISO 20000 v České republice

V prosinci 2005 byl akreditován Českým institutem pro akreditaci EZÚ (Elektrotechnický zkušební ústav) pro udělování certifikace dle normy BS 15000, a z ní vycházející normy ISO 20000. Tuto certifikaci je tedy možné získat od tuzemského subjektu a tím se stává pro mnoho společností určitě dostupnější. V průběhu roku 2006 byly uděleny prvé certifikace. Mezi prvními certifikovanými organizacemi byla například společnost AutoCont.

Použitá literatura

BS 15000-1:2002 IT service management Part 1: Specification for service management, vydané BSI, 2002.
BS 15000-2:2002 IT service management Part 2: Code of practice for service management, vydané BSI, 2002.
ISO/IEC 20000-1 Information technology – Service management Part 1: Specification, vydané ISO a IEC, 2005.
ITIL – Service Support, vydané OGC, 2000.
ITIL – Service Delivery, vydané OGC, 2001.
Management služeb IT, komentované vydání souboru ISO/IEC/DIS 20000:2004, Šebestová, Váňa, Sedláček, vydané ČNI, 2005.


Autoři článku působí v Elektrotechnickém zkušebním ústavu.