Označení ISO 20000 má více norem. Která z nich se používá pro certifikaci poskytovatelů IT služeb?

Máte pravdu. Správně bychom mezinárodní normu, která se používá pro certifikační účely, měli označovat jako ISO/IEC 20000-1:2005, což odpovídá české normě ČSN ISO/IEC 20000-1:2006. Tato norma nese označení Specifikace a je to jediná norma obsahující požadavky, které jsou kritérii při auditu. Existují však další normy podobného označení. Tak například ISO/IEC 20000-2:2005 má označení Soubor postupů a má formu návodů a doporučení. Stejně tak ISO/IEC 20000-3:2009, která nese označení Návod na stanovení rozsahu a použitelnosti ISO/IEC 20000-1. Jak už název říká, jedná se o návod. Obě posledně jmenované normy se tedy nepoužívají k certifikaci, ale obsahují důležité návody, které se mohou před a při certifikaci uplatnit. Budeme-li tedy v dalším rozhovoru mluvit o normě ISO 20000, budeme mít na mysli mezinárodní normu ISO/IEC 20000-1:2005.

Jaký je rozdíl mezi systémem managementu služeb podle ISO 20000 a systémem managementu kvality podle ISO 9001?

ISO 9001 je jakousi matkou všech norem zabývajících se systémy managementu. Největší a zásadní rozdíl mezi oběma normami je v identifikaci procesů. Zatímco norma ISO 9001 předpokládá, že organizace si sama identifikuje své procesy – realizační, podpůrné i řídicí –, v normě ISO 20000 je přímo stanoveno třináct procesů, které musí být všechny v organizaci implementovány. Čtrnáctým procesem je pak řídicí proces zahrnující požadavky na systém managementu, včetně odpovědnosti managementu, požadavků na dokumentaci, odbornou způsobilost, vědomí závažnosti a výcvik, dále pak plánování a implementaci managementu služeb a plánování a implementaci nových a změněných služeb.

Pro jaké organizace je určena norma ISO/IEC 20000-1?

Norma ISO/IEC 20000-1 stanovuje požadavky, které jsou kladeny na poskytovatele služeb a které se týkají dodávky řízených služeb v kvalitě přijatelné pro jeho zákazníky. Norma může být použita:

• organizacemi, které vyhlašují výběrová řízení pro svoje služby,
• organizacemi, které vyžadují shodný přístup od všech poskytovatelů služeb v dodavatelském řetězci,
• poskytovateli služeb při porovnávání jejich systémů managementu IT služeb,
• jako srovnávací základna pro nezávislé ohodnocení,
• organizací, která potřebuje prokázat schopnost poskytovat služby, které splňují požadavky zákazníků,
• organizací, která usiluje o zlepšení služeb pomocí efektivní aplikace procesů pro monitorování a zlepšování kvality služeb.

Může se tedy o certifikaci podle ISO 20000 ucházet například každá organizace, která se zabývá návrhem a vývojem softwaru?

Tato norma je určena pro poskytovatele služeb v oblasti IT. Jestliže tedy organizace navrhuje a vyvíjí software a může prokázat, že sama řídí všechny procesy identifikované v normě, pak tato certifikace možná je. Samotný návrh a vývoj softwaru však neznamená, že organizace také poskytuje služby nebo že sama řídí všechny procesy. Taková organizace se však může úspěšně ucházet o certifikaci podle ISO 9001. Právě zde hraje velkou roli pomocná norma ISO/IEC 20000-3:2009, která uvádí celou řadu příkladů na stanovení předmětu auditu a názorně ukazuje, za jakých okolností certifikace podle ISO/IEC 20000-1 možná není.

Jaké výhody přináší certifikace organizacím a jaké jejich klientům?

Certifikace je nesporně konkurenční výhodou pro poskytovatele služeb. Samotné vytvoření systému managementu služeb také dává poskytovateli služeb do rukou mocné nástroje pro řízení organizace. Na druhé straně klienti, jejichž dodavatelem je certifikovaná organizace, se mohou spolehnout na to, že systém managementu dodavatele je pravidelně auditován certifikačním orgánem s cílem potvrdit trvalou schopnost dodavatele dodávat služby, které jsou ve shodě s požadavky a očekáváním klienta.

Jak samotný proces certifikace poskytovatele IT služeb probíhá, kdo ji může provádět a jaké jsou podmínky pro udělení certifikátu?

Proces certifikace je v zásadě dvoustupňový, zcela v souladu s požadavky normy ISO/IEC 17021:2006 Posuzování shody – Požadavky na orgány provádějící audit a certifikaci systémů managementu, kterou se řídí certifikační orgány. První stupeň auditu, také nazývaný audit připravenosti, má za úkol prověřit, zda je organizace, která se uchází o certifikát, připravena k hlavnímu certifikačnímu auditu, zda má vytvořeny požadované politiky a dokumenty, zda provádí interní audit a zda provedla alespoň jedno přezkoumání svého systému managementem. Informace, které získá auditor při prvním stupni auditu, mu také slouží jako základ pro efektivní naplánování druhého stupně auditu.

Při druhém stupni auditu, také nazývaném auditem shody, prověřuje auditor shodu mezi normou a dokumentací organizace, shodu mezi dokumentací a prováděnými činnostmi a v neposlední řadě to, zda jsou prováděné činnosti efektivní. Na základě úspěšně provedeného auditu, popřípadě po vypořádání všech neshod zjištěných auditem, je organizaci vydán certifikát. Certifikát je akreditovaný, přičemž akreditačním orgánem je Český institut pro akreditaci, a platí tři roky. Po třech letech se provádí opakovaný certifikační audit (recertifikace). Během tříletého certifikačního období organizace absolvuje dva dozorové audity, jejichž rozsah je menší než u certifikačního auditu.

Audit může provádět certifikační orgán, který je pro tuto činnost akreditován u národního akreditačního orgánu. Certifikační orgány, které nemají potřebnou akreditaci, mohou vydávat pouze neakreditované certifikáty, které však představují velkou nejistotu pro zákazníky ohledně kvality a efektivnosti poskytovaných služeb IT.

Jaké jsou požadavky na odbornou způsobilost auditora provádějícího audit systému managementu IT služeb podle ISO 20000?

Podle organizace itSMF (The IT Service Management Forum), která je vlastníkem certifikačního schématu ISO 20000, jsou požadavky na odbornou způsobilost auditora následující: vysokoškolské vzdělání, pracovní zkušenost v oblasti IT, absolvování kurzů se zaměřením na informační technologie, dále splnění požadavků ISO 19011 na auditora včetně absolvování nejméně čtyřicetidenního školení auditování systémů managementu a absolvování školení ISO/IEC 20000 pro externí auditory vedeného školitelem akreditovaným itSMF International, včetně úspěšně složené zkoušky.

Podmínkou přijetí na výše uvedené školení ISO/IEC 20000 je minimálně tříletá zkušenost s auditováním v oblasti IT a zároveň certifikace auditora pro ISO 9001, BS 7799, ISO 27001, TickIT nebo certifikace interního auditora a dále absolvování minimálně dvou kompletních auditů systému managementu IT služeb v roli auditora v zácviku včetně plánování auditu, psaní zpráv a přezkoumání dokumentace celého případu.

Z uvedeného je zřejmé, že požadavky na odbornou kvalifikaci auditora ITSM jsou poměrně přísné a přísná je též zkouška, která je ne vždy v češtině. To záleží na školicí organizaci. itSMF uznává školení pouze od akreditovaných školicích organizací a těch je v tuzemsku poměrně málo. Všechny tyto skutečnosti jsou možná také důvodem, proč je auditorů na ITSM málo a proč je certifikace ITSM poněkud nákladnější než jiné druhy certifikace.

Spolupracuje Bureau Veritas Czech Republic také při zavádění systémů managementu služeb IT podle normy ISO 20000?

V žádném případě. Ani to není možné. Výkon poradenské činnosti je v konfliktu zájmů s činností auditorskou. Organizace, která poskytuje certifikační služby, nesmí současně poskytovat služby poradenské.

Bureau Veritas Czech Republic ale provádí školení v oblasti systémů managementu IT služeb. Co tato školení zahrnují?

Ano, v současné době nabízí Bureau Veritas CR dva druhy školení: pro manažery a pro interní auditory. Školení pro manažery je jednodenní a zahrnuje podrobný výklad požadavků systémové normy. Školení pro interní auditory je dvoudenní a obsahuje navíc lekce o technikách auditování a praktický výcvik formou případových studií.

15. dubna 2011 vyšla nová revize normy ISO/IEC 20000-1:2011. Co tato revize přináší nového a jak dlouhé bude přechodové období?

Nejnápadnější změnou normy je skutečnost, že zatímco stará norma se týká „systémů managementu IT služeb“, nová norma se odkazuje na „systém managementu služeb“. K ostatním změnám patří následující:

• 15 původních definic termínů bylo rozšířeno na 37,
• konzistentnější interpretace termínu governance (zatím však ještě nemáme český překlad normy),
• odstranění cílů uvedených v každém článku nebo podčlánku normy,
• chápání zdrojů ve smyslu zdrojů „lidských, technologických, finančních a informačních“,
• stanovení požadavků na katalog služeb,
• stanovení požadavků na vytvoření postupů a na podrobnosti, které by měly tyto postupy zahrnovat,
• jasnější formulace požadavků, i když ty zůstávají v podstatě stejné,
• nahrazení termínu podílníci (stakeholders) termínem zainteresované strany (interested parties),
• opakovaná zmínka o tom, že poskytovatel služeb musí plánovat, vytvořit, implementovat, provozovat, monitorovat, přezkoumávat, dodávat a zlepšovat systém managementu služeb a požadavky zahrnující návrh a vývoj, dodávání a zlepšování služeb, které uspokojují požadavky zákazníků,
• aktualizovaná bibliografie.

Podrobné změny jednotlivých článků normy budou součástí nové normy. Přechodové období bude pravděpodobně dvouleté.