ISO 33000 aneb ISO 15504 v novém hávu

Rodina standardů ISO 33000 je v podstatě přejmenovaným standardem ISO 15504. Jde o univerzálně použitelné standardy, na základě kterých se hodnotí úroveň dodržování jiných standardů.

PDQM standard využívá právě pro hodnocení úrovně dodržování standardů jako Automotive SPICE, ISO 26262, ITIL aj.

Metodika ISO 33001

Základní logikou standardu je, že plnění zejména procesních norem není možné hodnotit stavem plní / neplní, jak je zvykem např. v auditech ISO 9001. Firmy vždy standardy plní do nějaké úrovně, přičemž standardy ISO 3300xx resp. starší ISO 15504 vytvářejí tuto jednotnou metodiku hodnocení úrovní. Závěr posouzení podle některé z těchto norem pak zní „plní normu X na úrovni Y“, tedy např. „Plní Automotive SPICE na úrovni 3“ – což je mimochodem úroveň obvykle požadovaná zákazníky.

Historické okénko

Historie hodnocení podle úrovní je už poměrně stará. Její počátky sahají do konce minulého století. Původně ji procesní standardy do sebe přímo zahrnovaly, příkladem v tom je např. CMM v prvních verzích. Některé standardy to zahrnují dodnes (CMMI), nebo citují ISO 15504 (Automotive SPICE).

Metodika úrovní

Dále jsou stručně charakterizovány jednotlivé úrovně plnění. Vždy platí, že nižší úrovně svou úrovní plnění nedosahují na požadavky úrovně vyšší.

Úroveň 0 – neúplné plnění

Některé požadované procesní oblasti nejsou plněny vůbec, nebo nedostatečně. Nedostatečností se rozumí, že není naplněn účel nebo je naplňován pouze někdy.

Firmy, které realizují činnosti, ale nestarají se o normy, jsou v podstatě vždy na této úrovni, protože většinou neplní některé z povinných procesních oblastí. Např. nemají v pořádku dokumentaci, neřídí rizika apod.

Úroveň 1 – Vykonávané činnosti

Na této úrovni organizace vykonává předepsané činnosti a reálně tak dosahuje toho, že je naplněn jejich účel.

Většina organizací, která se snaží pracovat kvalitně a má odborníky, kteří se zajímají o problematiku své práce, je na této úrovni. Normy požadují užitečné činnosti a vyžadují evidovat a sledovat jenom to, co je pro úspěch činností důležité. Proto pokud má tým vedoucího, který chce, aby tým pracoval dobře, tak má důvod požadavky více či méně plnit

Úroveň 2 – Řízené činnosti

Jak název napovídá, tuto úroveň plní týmy, které svou činnost plánují a své plány skutečně používají pro řízení činností. To mj. znamená, že pokud se nemohou plánem řídit, tak jej upraví, aby dále sloužil.

Na první pohled by se mohlo zdát, že zejména zakázkově orientované firmy, které dávají nabídku na základě kalkulace postavené na plánu realizace, budou tuto úroveň splňovat. Není to ale tak jednoduché, protože standard vyžaduje, aby řízené byly všechny činnosti, tedy i ty interní, které zákazník nevidí – např. správa dokumentů, rizika, požívané systémy a technologie apod.

Úroveň 3 – Definované činnosti

Plnění této úrovně vyžaduje, aby většina postupů, činností a plánů probíhala podle standardních postupů, které jsou v organizaci zavedeny. Pro konkrétní projekt nebo činnost mohou být upraveny, ale opět pouze způsobem předem vymezeným.

Většina organizací, která plní standard ISO 9001, vidí jako základ právě dokumentaci procesů a postupů. Mohlo by se tedy zdát, že všechny organizace s ISO 9001 certifikátem budou mít své procesy a jejich plnění na úrovni 3. Pokud by požadavky standardu ISO 9001 brali skutečně důsledně vážně, mohlo by to tak skutečně být. Často se ale ukazuje, že jsou postupy ISO 9001 buď jen formální, nebo aplikované pouze na prozákaznické procesy. Normy směřující k interní kvalitě a bezpečnosti – např. ISO 27000, ISO 20000, ISO 26262 a další – tak zůstávají mimo pozornost a dostatečnou úroveň standardizace nemají.

Jenom při příklad: Pokud má být standard ISO 27000 plněn na úrovni standardu ISO 33001 na úrovni 3, musí existovat metodika hodnocení kybernetických rizik, standardní proces jejich vyhledávání, procesy hodnocení aplikací, které jsou do firmy vpuštěny, informace, ať už jsou kdekoli, mají svého vlastníka atd. Pro mnoho organizací, které ISO 9001, jsou zmíněné oblasti požadované ISO 27000 mimo pozornost interních auditorů (kteří jim většinou nepříliš rozumí) a tedy neřešené.

Úroveň 4 – Předvídatelné procesy

Úroveň vyžaduje, aby organizace dlouhodobě vyhodnocovala a sbírala data, která ji umožní předvídat, jak se budou nově realizované procesy, projekty a obecně jakékoli činnosti vyvíjet, kolik budou vyžadovat zdrojů a času.

Předvídatelnost je daleko od toho, co vyžaduje plánování. Plánovat je možné na základě zkušeností a v podstatě bez velké znalosti věci. Předvídatelnost vyžaduje, abyste uměli vytáhnout data nebo jiný podklad (odborně benchmark), se kterým nový případ porovnáte, rozpoznáte a posoudíte rozdíly a podle nich upravíte plány. Předvídatelnost se také nevztahuje jenom na plánování, ale i na odhalování rizik a jejich preventivní minimalizaci.

Plnění úrovně 4 je možné budovat až po splnění úrovně 2. Bez plánování a sběru dat není možné tvořit zkušenosti a vytvářet si benchmarky, které pak používáte. A jakékoli benchmarky z venku jsou jen nápovědou a startovním můstkem; aby se daly skutečně použít, je třeba znát detailně podmínky, podle kterých vznikaly a nic takového firmy nezveřejňují.

Úroveň 5 – Optimalizované procesy

Optimalizace staví na úrovni 4 a využívá zkušeností ze schopnosti předvídat k tomu, aby soustavně a cíleně zlepšovala vše, podle čeho pracuje, tedy zejména své pracovní postupy, nástroje a metodiky.

Podobně jako úroveň 4 staví předvídatelnost na datech, dělá to i úroveň 5. Vychází z dat o tom, kde se nedaří dodržovat odhady, kde kolísá kvalita apod. a na základě sesbíraných dat řeší, co je třeba. Následně opět sbírá data a vyhodnocuje, jestli opatření skutečně pomohla.

ISO 330000 se nehodí na všechny normy

Posouzení procesní zralosti podle stupňovitého standardu je možné použít s těmi standardy, které jsou procesně orientované a definují procesní oblasti. Současně definují obecné požadavky, které musí být splněny – ty většinou odpovídají požadavkům jednotlivých úrovní ISO 33000.

Pro technicky orientované normy je metodika stupňovitého hodnocení pochopitelně nepoužitelná. V případě normy ISO 9001 je použití ISO 33000 problematické a ani současné certifikáty to nijak nekombinují. ISO 330xx tvoří tzv. rodinu standardů, kde normy s vyššími čísly aplikují základní požadavky na konkrétní úrovně. Nad rámec těchto „předdefinovaných“ standardů (např. ISO 33001 je vstupní branou k hodnocení procesů péče o informační technologie) se standard používá i na řadě dalších míst. My jsme s jeho pomocí např. posuzovali plnění ITIL, CMMI, nebo ASPICE, která jej má přímo v sobě.

Plnění požadavků normy

Plnit požadavky normy ISO 33000 musí zejména posuzovatelé. Nejedná se o normu, která by přímo definovala nějaké konkrétní požadavky na organizace.

Od organizací zákazníci vyžadují normy, které jsou podle ISO 33000 hodnoceny a většinou vyžadují úroveň 2 nebo 3. Už plnění na této úrovni zajišťuje, aby byl v činnostech a organizacích pořádek. Vyšší úrovně přispívají efektivitě organizace, ale z hlediska zákazníků nejsou významným přínosem.

PDQM pomáhá plnit normy na úrovních 2 a vyšší pomocí systému AyMINE, který nejenom usnadňuje plánování a řízení, ale i shromažďuje cenná data, která je možné efektivně použít pro optimalizaci a tak dosáhnout úrovně 4.