Masarykova universita Přírodovědecká fakulta Fakulta informatiky Systémy integrovaného managementu Elektronický učební text předmětu PA088 Prof. RNDr. Jiří Hřebíček, CSc., Mgr. Matěj Štefaník ©Masarykova universita 2008 2 Předmluva Cílem této publikace je vytvořit zejména pro studenty Masarykovy university v rámci projektu FRVŠ 1613/2008 „Inovace předmětu Systémy integrovaného managementu“ nový aktualizovaný elektronický učební text navazující na předchozí elektronický učební text předmětu PA088 - Systémy integrovaného managementu „Jiří Hřebíček, Jaroslav Ráček: Systémy integrovaného managementu“ z roku 2002, kde jsou prezentovány základy managementu, mezinárodní standardy systémů managementu jakosti (ISO 9000), životního prostředí (ISO 14000), bezpečnosti a ochrany zdraví při práci (OHSAS 18000) a jejich zavádění v organizaci jako jejího integrovaného systému managementu podle základního schématu založeného na managementu rizik. V rámci inovace předmětu PA088 - Systémy integrovaného managementu jsou základní standardy systémů managementu organizace jako jejího integrovaného systému managementu jednak aktualizovány na současný stav jejich vývoje (ISO 9000:2008, ISO 14000:2004 a BS OHSAS 18001:2007) a jednak rozšířeny o dva nové mezinárodní standardy ISO týkající se systémů managementu organizace v působící v oblasti informačních technologií, a to managementu služeb informačních technologií (ISO 20000) a managementu bezpečnosti informací (ISO 27000) včetně jejich integrace v rámci celkového integrovaného managementu organizace. Současně je zde zmíněna i připravovaná norma ISO 25000, týkající se kvalitu a hodnocení softwarových produktů. Šlo nám o to, vytvořit aktuální studijní materiály, se kterými se mohou seznámit studenti bakalářského a magisterského studia Masarykovy university a případně i ostatních vysokých škol v České republice, kteří studují v oblasti informačních technologií (IT) a chtějí se seznámit s problematikou integrovaného managementu. Tento učení text jim umožní seznámit se co nejrychleji se souborem základních norem v oblasti integrovaného managementu organizací, včetně poskytování služeb IT a bezpečnosti informací a kvality softwaru. To jim umožní zvýšit jejich znalosti pro lepší nástup do praxe, kde se mohou orientovat jak v řízení organizací, tak v odběratelsko-dodavatelských vztazích této velmi se rozvíjející oblasti, aplikace moderních informačních a komunikačních technologií. 3 Obsah 1 Úvod................................................................................................................................................................ 4 1.1 Historie managementu jakosti/kvality..................................................................................................... 6 1.2 Historie environmentálního managementu............................................................................................ 11 1.3 Historie managementu bezpečnosti a ochrany zdraví při práci............................................................. 13 1.4 Historie managementu služeb informačních technologií ...................................................................... 15 1.5 Historie managementu řízení bezpečnosti informací ............................................................................ 17 1.6 Posuzování jakosti produktů IT............................................................................................................. 17 2 Základy managementu .................................................................................................................................. 21 2.1 Definice managementu.......................................................................................................................... 21 2.2 Manažerské funkce................................................................................................................................ 23 2.3 Cíl managementu .................................................................................................................................. 23 2.4 Produktivita, účinnost a efektivnost ...................................................................................................... 24 2.5 Komunikace .......................................................................................................................................... 24 2.6 Demingovo schéma............................................................................................................................... 25 3 Systém managementu jakosti........................................................................................................................ 27 3.1 Jakost..................................................................................................................................................... 27 3.2 Platné předpisy...................................................................................................................................... 28 3.3 Zavádění systému managementu jakosti............................................................................................... 29 4 Systém environmentálního managementu..................................................................................................... 34 4.1 Environmentální management............................................................................................................... 34 4.2 Platné předpisy...................................................................................................................................... 34 4.3 Zavádění systému environmentálního managementu............................................................................ 39 5 Systém managementu bezpečnosti a ochrany zdraví při práci...................................................................... 43 5.1 Bezpečnost a ochrana zdraví při práci................................................................................................... 43 5.2 Platné předpisy...................................................................................................................................... 43 5.3 Zavádění managementu bezpečnosti a ochrany zdraví při práci........................................................... 45 6 Systémy managementu služeb informačních technologií ............................................................................. 48 6.1 Informační služby.................................................................................................................................. 48 6.2 Platné předpisy...................................................................................................................................... 48 6.3 Zavádění systému managementu služeb IT........................................................................................... 48 6.4 Plánování a implementace nových nebo změněných služeb ................................................................. 51 7 Systémy managementu bezpečnosti informací ............................................................................................. 52 7.1 Bezpečnost informací............................................................................................................................ 52 7.2 Platné předpisy...................................................................................................................................... 52 7.3 Zavádění systému managementu bezpečnosti informací ...................................................................... 54 8 Integrace systémů managementu a jeho zavádění......................................................................................... 57 8.1 Porovnání jednotlivých prvků složkových systémů .............................................................................. 58 8.2 Kombinace vybraných systémů managementu ..................................................................................... 60 8.3 Integrovaný manažerský systém ........................................................................................................... 61 9 Zavádění IMS podle základního schématu založeného na hodnocení rizik .................................................. 64 9.1 Stanovení závazku vedení a politiky IMS............................................................................................. 64 9.2 Vstupní přezkoumání ............................................................................................................................ 64 9.3 Plánovací etapa...................................................................................................................................... 64 9.4 Prováděcí etapa ..................................................................................................................................... 65 9.5 Kontrolní etapa...................................................................................................................................... 65 9.6 Vlastní prohlášení.................................................................................................................................. 65 10 Procesní řízení........................................................................................................................................... 66 10.1 Funkční versus procesní způsob řízení.................................................................................................. 66 10.2 Hierarchie procesu ................................................................................................................................ 67 10.3 Měření výkonnosti procesů ................................................................................................................... 68 10.4 Stanovení výkonnosti správních procesů .............................................................................................. 69 10.5 Zdokonalování podnikových procesů ................................................................................................... 71 11 Literatura................................................................................................................................................... 74 11.1 Použitá literatura ................................................................................................................................... 74 11.2 Použité zdroje informací na Internetu ................................................................................................... 74 12 Seznam zkratek ......................................................................................................................................... 76 4 1 Úvod Problematika udržitelného rozvoje nabývá v souvislosti s rozvojem globální ekonomiky a vytvářením širších hospodářských celků na ohromném významu a dostává se do popředí strategických úvah manažerů, usilujících o úspěch, resp. přežití na dnešních náročných globálních trzích. Situace na trhu se v současné době obrátila ve prospěch kupujících, protože převaha nabídky (vytvořila) možná determinovala trh zákazníka. Doba, kdy organizace1 profitovaly z výhod hromadné výroby unifikací výrobkové řady je už dávno pryč, neboť dnešní zákazníci jsou z titulu všeobecného přebytku rozmanitého zboží velice nároční a co se týče jejich nákupního chování velice nevyzpytatelní. Praxe potvrdila, že vhodnou cestou k dosahování trvalé konkurenční výhody je uplatňování účinných systémů integrovaného managementu v organizacích, zejména managementu kvality, jelikož z četných empirických studií vyplývá, že v soutěži o zákazníka a o pozici na trhu sehrává kvalita a udržitelná spotřeba stále důležitější roli. Zvýšená pozornost se v současnosti zaměřuje především na perspektivu trvalé udržitelnosti růstu v rámci udržitelné spotřeby a výroby2 . Teorie trvale udržitelného růstu původně vycházela ze široce pojaté definice obsažené ve zprávě Komise OSN pro životní prostředí a rozvoj z roku 19873 . Evropský parlament následně nově definoval tento pojem takto: „Udržitelný rozvoj znamená zlepšování životní úrovně a blahobytu lidí v mezích kapacity ekosystémů při zachování přírodních hodnot a biologické rozmanitosti pro současné a příští generace.“ Takto definovaný pojem udržitelný rozvoj má především tři základní rozměry, jimiž jsou: • rozměr ekonomický; • rozměr sociální; • rozměr environmentální. Přitom koncepce udržitelného rozvoje zdůrazňuje harmonický a vyvážený rozvoj všech tří rozměrů. Náplní ekonomického rozměru je udržitelný hospodářský rozvoj spojený s rostoucími příjmy obyvatel. Sociální rozměr obsahuje potřebu důstojného života a rozvoje lidské osobnosti, zdraví, vzdělání, sociálního uznání, spravedlivosti, soudržnosti a rozvoje kultury. Environmentální rozměr představuje nutnost zachovat dlouhodobě na přijatelné úrovni statky a služby, které lidské společnosti poskytuje příroda (energie, suroviny, schopnost absorbovat odpady, prostor, zdravé životní podmínky). Aby jakýkoliv ekonomický subjekt mohl prosperovat, musí ve své činnosti respektovat všechny tři složky udržitelného rozvoje. V roce 1995 Evropská komise přijala 12 principů udržitelného rozvoje, na které navázala „Strategie udržitelného rozvoje pro Evropskou unii“ přijatá v roce 20014 . „Obnovená strategie udržitelného rozvoje pro rozšířenou Evropu“5 byla přijata Evropskou radou v roce 2006 a obsahuje soudržnou strategii toho, jak se bude Evropská unie (EU) účinněji řídit svým dlouhodobým závazkem za účelem splnění stanovených úkolů a cílů udržitelného rozvoje. Potvrzuje potřebu globální solidarity a uznává význam posílení spolupráce s partnery mimo EU, včetně rychle se rozvíjejících zemí, které budou mít na globální udržitelný rozvoj značný vliv. Obecným cílem obnovené strategie EU pro udržitelný rozvoj je určovat a rozvíjet činnosti, jež EU umožní dosáhnout trvalého zvyšování kvality života pro současné i budoucí generace prostřednictvím rozumného využívání zdrojů i potenciálu hospodářství k ekologickým a sociálním inovacím. 1 Společnost, sdružení, firma, podnik, úřad nebo instituce, nebo jejich část nebo kombinace, ?ať' už zapsané do obchodního rejstříku nebo ne, veřejné nebo soukromé, které mají své vlastní funkce a správu. 2 http://www.cenia.cz/__C12572160037AA0F.nsf/$pid/CPRJ7JKEX9N6/$FILE/Manual-USV-web.pdf 3 http://www.un.org/esa/earthsummit/ 4 http://ec.europa.eu/sustainable/sds2001/index_en.htm 5 http://ec.europa.eu/sustainable/sds2006/index_en.htm 5 V České republice (ČR) byla usnesením vlády č. 1242 ze dne 8. 12. 2004 schválena Strategie udržitelného rozvoje ČR6 (dále SUR) jako dlouhodobý rámec pro politická rozhodování v kontextu mezinárodních závazků, které ČR přijala v souvislosti s svým členstvím v EU7 , OECD8 a OSN9 , respektující zároveň specifické podmínky ČR. Přijetím SUR splnila ČR závazky vyplývající ze závěrů jednání Světového summitu o udržitelném rozvoji v Johannesburgu v roce 2002 a přihlásila se k závěrům konference Země v Riu de Janeiro v roce 1992, k rozvojovým cílům Deklarace tisíciletí OSN, závěrům jednání Komise OSN pro udržitelný rozvoj z r.2003 (zejména Mezinárodního víceletého programu činnosti Komise do r. 2017). V období 2007 – 2009 probíhá aktualizace SUR, vycházející mj. z „Obnovené strategie udržitelného rozvoje“ EU. Udržitelné podnikání potřebuje nástroje, pomocí nichž může být podporováno. Jedním z typů těchto nástrojů jsou manažerské systémy. Formalizované manažerské systémy se objevují ve větším měřítku už od počátku osmdesátých let minulého století. V současné době existují tři hlavní oblasti, pro něž jsou manažerské systémy implementovány. Jsou to: • management jakosti/kvality (zkráceně QMS z angl. Quality Management Systems); • environmentální management (zkráceně EMS z angl. Environmental Management Systems); • management bezpečnosti a ochrany zdraví při práci (zkráceně BOZP). V historii manažerských systémů se nejdříve objevují systémy managementu jakosti, jež jsou orientovány na výrobek, respektive na jeho kvalitu. Historicky mladší než systémy managementu jakosti jsou systémy environmentálního managementu, jež se zabývají dopadem celého životního cyklu výrobku na životní prostření, z čehož vyplývá, že tyto systémy jsou orientovány především na proces výroby. Nejmladší z uvedené trojice systémů jsou systémy managementu bezpečnosti a ochrany zdraví při práci, jež se orientují na zaměstnance firmy, tedy na člověka. Jelikož však organizace nelze řídit podle několika souběžných na sobě vzájemně nezávislých systémů řízení, je zapotřebí tyto systémy integrovat. Takovýto systém, jež vznikl integrací více manažerských systémů zaměřených na různé oblasti řízení organizace, se pak nazývá integrovaný systém managementu (dále IMS). V současné době, kdy se informační a komunikační technologie (ICT) stávají nedílnou součástí nástrojů řízení organizací jsou integrovány do jejich manažerských systémů jak systémy managementu služeb IT (zkráceně ITMS z angl. Information Technology Management Systems), tak i bezpečnosti informací (zkráceně ISMS z angl. Information Security Management Systems). Ve světovém měřítku uplatňuje řada velkých firem a korporací10 nástroje integrovaného managementu trvale ve své činnosti. Důvody, jež vedou tyto korporace k zavádění integrovaného managementu, jsou zejména společenská odpovědnost11 , ekonomická výhodnost a zlepšení image firmy. 6 http://www.esfcr.cz/file/3773/ 7 http://europa.eu/ 8 http://www.oecd.org/ 9 http://www.un.org/ 10 Korporace je organizace nebo skupina osob, která je identifikována svým vlastním jménem a která vystupuje nebo může vystupovat jako celek. 11 Společenská odpovědnost organizací (Corporate Social Responsibility – CSR) je definována jako koncept, v němž organizace ve spolupráci s jejich zainteresovanými stranami dobrovolně integrují sociální a environmentální aspekty do svých podnikatelských aktivit. V praxi CSR znamená, že odpovědná organizace dobrovolně podniká v souladu s vysokými etickými principy; pěstuje dobré vztahy se svými obchodními partnery; pečuje o své zaměstnance; podporuje region, ve kterém působí; a snaží se minimalizovat negativní dopady na životní prostředí. CSR Představuje komplexní přístup k řízení organizace, který v sobě zahrnuje. 6 Narozdíl od velkých organizací jsou systémy integrovaného managementu v malých a středních podnicích12 (zkráceně MSP, angl. SME - Small and Medium Enterprises) rozšířeny poměrně málo. Přitom tento typ podniků tvoří více než 99% z celkového počtu firem v EU13 . To ukazuje i na jejich celkový význam v rámci ekonomiky a rovněž na rozsah dopadů jejich činností na životní prostředí a zdraví lidí. Přitom MSP mají nepopiratelnou výhodu v možnosti vyšší flexibility, ale zároveň také nevýhodu nedostatečných znalostí a chybějících specialistů, zejména v oblasti environmentálního managementu a managementu ochrany zdraví a bezpečnosti při práci i ICT. Jednou z účinných cest, jak podpořit udržitelný rozvoj tedy, je zlepšení managementu MSP, tak aby se staly ekonomicky udržitelnými, tj. vést je k lepším řídicím postupům, efektivnějšímu využití surovin a energií, zavádění nejlepších dostupných technologií14 . Mnoho těchto podniků ke své činnosti nepotřebuje komplikované a formalizované řídicí systémy potvrzené certifikací, ale dostačuje jim zavedení praktik „dobrého managementu“, upraveného pro jejich podmínky. 1.1 Historie managementu jakosti/kvality Základní mezníky historie managementu jakosti/kvality jsou zachyceny na obr. 1.1, jež ukazuje jeho vývoj od počátku 20. století. Základem filosofie moderního managementu jakosti je poznání, že jakost vzniká při každé činnosti, která se výrobku dotýká a nejen ve vlastní výrobě. Názor, že předcházet vadám je levnější a méně pracné, než vyrábět zmetky, pak je vytřiďovat a opravovat nebo vyhazovat a vyrábět znovu, je hlavní ideou managementu jakosti. Přitom je třeba dbát vyváženosti ve všech činnostech, které se na tvorbě jakosti podílí. Výsledná kvalita výrobku je pak závislá na sledování jakosti po celý životní cyklus výrobku. Proto byly vytvořeny formalizované systémy managementu jakosti, zohledňující všechna tato hlediska. S vývojem řízení kvality je spojena řada významných osobností, k nimž patří Walter A. Shewhart, William E. Deming, Joseph M. Juran, Armand V. Feigenbaum, Kaoru Ishikawa, Yoshi Tsurumi, Philip B. Prosby a další, kteří přispěli svými díly k současnému pojetí managementu jakosti. Existuje mnoho definic a různorodých přístupů k vymezení pojmu jakost/kvalita: • jakost/kvalita je to, co za ni považuje zákazník ( Feigenbaum); • jakost/kvalita je shoda s požadavky ( Crosby); • jakost/kvalita je způsobilost pro užití (Juran); • a řada dalších. Na obrázku 1.1 je jako jeden z mezníků uveden rok 1987, označený jako počátek dokumentovaných procesů, což bylo podníceno prvním vydáním norem ISO řady 9000. K této události samozřejmě nedošlo znenadání, ale předcházelo jí přijetí různých oborových a národních norem, na jejichž zkušenostech Mezinárodní organizace pro normalizaci15 (ISO International Organisation for Standardization) stavěla. Od roku 1987 byly normy ISO řady Všechny základní oblasti udržitelného rozvoje: tj. rozvoj v oblasti ekonomické a sociální v rámci limitů Země, respektive životního prostředí (Dobeš a kol, 2008). 12 Společnosti klasifikované jako malé a střední podniky (MSP) jsou oficiálně definovány v EU jako organizace s méně než 250 zaměstnanci, nezávislé na velkých organizacích. Jejich roční obrat nepřesahuje 50 miliónů EUR anebo konečná roční rozvaha není vyšší než 43 miliónů EUR. 13 http://ec.europa.eu/enterprise/sme/envoy_cs.htm http://ec.europa.eu/enterprise/entrepreneurship/docs/sme_pack_cs.pdf 14 http://www.cenia.cz/web/www/web-pub2.nsf/$pid/MZPMSFGRI2L4 15 http://www.iso.org/, ISO je mezinárodní nevládní organizace pro vývoj a sjednocení standardů. Byla založena v roce 1947 jako síť národních institutů pro normalizaci s centrálním sekretariátem v Ženevě a její hlavní činností je vývoj technických norem. ISO zaujímá překlenovací pozici mezi veřejným a soukromým sektorem. Řada jejich členských institucí je součástí vládní struktury svých zemí nebo je řízena vládou. Ostatní členové jsou z privátního sektoru a byly zřízeny národními průmyslovými sdruženími. Národním zástupcem v ISO za ČR je Český normalizační institut (ČNI), http://www.cni.cz/ . 7 9000 dvakrát revidovány, a to v roce 1994 a 2000, přičemž v roce 2008 vyšla třetí revize těchto norem, když organizace ISO 14. listopadu 2008 publikovala mezinárodní normu ISO 9001:2008 „Systém managementu kvality – Požadavky“ (v originále ISO 9001:2008 „Quality management system – Requirements“). Tato požadavková norma se stává ve 175 zemích světa základním rámcem pro systémy managementu kvality (QMS). Obr.1.1: Vývoj systémů managementu jakosti. Norma ISO 9001:2008 neobsahuje žádné zcela nové požadavky ve srovnání s normou ISO 9001:2000, kterou postupně nahradí v certifikovaných společnostech. Poskytuje vyjasnění stávajících požadavků ISO 9001:2000 podložené zkušenostmi s užíváním této normy v posledních letech a doplňuje texty požadavků s cílem zlepšit kompatibilitu se systémy environmentálního managementu dle normy ISO 14001:2004. Současný stav v řízení kvality je charakterizován širokým využíváním norem ISO řady 9000:2000, které jsou zaměřeny na systém řízení procesů. Takový přístup, je-li použit v rámci managementu jakosti, zdůrazňuje důležitost: • pochopení požadavků zákazníků a jejich plnění; • potřeby zvážit procesy z hlediska přidané hodnoty; • dosahování výsledků výkonnosti a efektivnosti procesu; 8 • neustálého zlepšování procesů na základě objektivního měření. Zásady managementu jakosti podle norem ISO řady 9000:2000 tvoří osm bodů: • Zaměření na zákazníka: Organizace jsou závislé na svých zákaznících, a proto mají rozumět současným a budoucím potřebám zákazníků, mají plnit jejich požadavky a snažit se předvídat jejich očekávání. • Vedení a řízení zaměstnanců: Vedoucí manažeři prosazují soulad účelu a zaměření organizace. Mají vytvářet a udržovat interní prostředí, v němž se mohou zaměstnanci plně zapojit při dosahování cílů organizace. • Zapojení zaměstnanců: Zaměstnanci na všech úrovních jsou základem organizace a jejich plné zapojení umožňuje využít jejich schopnosti ve prospěch organizace. • Procesní přístup: Požadovaného výsledku se dosáhne mnohem účinněji, jsou-li činnosti a související zdroje řízeny jako proces. • Systémový přístup k managementu: Identifikování, porozumění a řízení vzájemně souvisejících procesů jako systému přispívá k efektivnosti a účinnosti organizace při dosahování jejích cílů. • Neustálé zlepšování: Neustálé zlepšování celkové výkonnosti organizace má být trvalým cílem organizace. • Přístup k rozhodování zakládající se na faktech: Efektivní rozhodnutí jsou založena na analýze údajů a informací. • Vzájemně prospěšné dodavatelské vztahy: Organizace a její dodavatelé jsou vzájemně závislí a jejich vzájemně prospěšný vztah zvyšuje jejich schopnost vytvářet hodnotu. V současné době se ve světovém měřítku vykrystalizovaly tři základní koncepce managementu jakosti. Jsou to: • koncepce podnikových (odvětvových) standardů; • koncepce ISO (QMS); • koncepce TQM16 (Total Quality Management), která přechází na koncepci GQM (Global Quality Management) a která je synergií systémů řízení jakosti, péče o životní prostředí a bezpečnost a ochranu zdraví při práci, tedy synonymum pro integrovaný manažerský systém (IMS). Nová norma ISO 9001:2008 specifikuje požadavky na systém řízení kvality: • pro organizace, které potřebují prokázat svou schopnost poskytnout produkt, který splňuje požadavky zákazníků a právní a jiné požadavky; • pro organizace, jejichž cílem je zlepšit spokojenost zákazníků díky efektivní aplikaci systému řízení jakosti (zahrnuje procesy neustálého zlepšování k zajištění souladu s požadavky zákazníků a právních a jiných požadavků). Stejně jako u normy ISO 9000:2000 je možné uplatnit povolené výjimky u těch požadavků, které nelze aplikovat díky charakteru organizace a jejích produktů. Tato vyloučení nesmí ovlivnit schopnost ani odpovědnost organizace poskytovat produkt naplňující požadavky zákazníka, stejně jako právní a jiné požadavky. Technický výbor ISO/TC 176/SC 2 připravil „balíček dokumentů“17 vysvětlujících změny mezi verzemi norem ISO 9001 z roku 2000 a 2008. Organizace ISO a mezinárodní akreditační fórum IAF se dohodly na „implementačním plánu“18 pro zajištění snadného přechodu certifikací na ISO 9001:2008. V EU je problematice kvality věnována mimořádná pozornost. Pro dosažení evropské konkurenceschopnosti byla v roce 1993 podpora jakosti zařazena do Bílé knihy „Rozvoj, 16 http://platforma.usv-partner.cz/index.php?option=com_content&task=view&id=17&Itemid=4 17 http://www.iso.org/iso/iso_catalogue/management_standards/iso_9000_iso_14000/iso_9001_2008.htm 18 http://www.iso.org/iso/pressrelease.htm?refid=Ref1152 9 konkurenceschopnost a zaměstnanost“ a rada ministrů tuto iniciativu schválila. Byly přijaty dokumenty SEC (96) 2000 „A European Quality Promotion Policy for Improving European Competitiveness“ a COM (96) 463 final „Benchmarking the competitiveness of European Industry“. Ty se staly základem obdobných politik v členských státech EU. V roce 1998 byla na Evropském konventu jakosti v Paříži podepsána „Evropská charta kvality“19 . Obr.1.2: Evropská politika podpory jakosti. Evropská unie rozpracovala zavádění evropské koncepce jakosti s cílem posílit jednotný vnitřní trh EU díky rozvoji a podpoře infrastruktury jakosti, jež zahrnuje technické podmínky certifikace, normalizace, metrologie i systémovou oblast managementu jakosti. Základní tezí přístupu EU je, že kvalitnímu zboží nesmí být bráněno v přístupu na vnitřní trh EU. Všechny výrobky uváděné na trh jsou začleněny do dvou skupin, označovaných jako regulovaná a neregulovaná sféra. Výrobky regulované sféry jsou obecně ty produkty, při jejichž použití by mohlo dojít k poškození zdraví. Pro tuto oblast jsou vypracovány závazné direktivy a normy, které předpisují nejen minimální hodnoty znaků jakosti, ale i povinné metody posuzování shody. Všechny výrobky regulované sféry musí být od 1.1. 1995 před uvedením na trhy EU opatřeny značkou CE (evropská shoda)20 . Tato značka je udělována pouze vybranou sítí zkušeben a garantuje, že daný výrobek splňuje stanovené požadavky na bezpečnost, ochranu zdraví, ochranu prostředí a ochranu spotřebitele. 19 http://www.npj.cz/dokumenty/s07.pdf 20 http://www.businessinfo.cz/cz/clanek/pravo-eu/oznaceni-ce-a-souvisejici-predpisy/1000459/4238/?rtc=1 10 Výrobky neregulované sféry jsou pak produkty, u kterých jsou normy pouze doporučující. Udělení značky CE není u výrobků neregulované sféry povinné. Konkrétní hodnoty znaků jakosti i metody jejich ověřování v neregulované sféře jsou věcí dohody dodavatele a odběratele. Podmínkám stanoveným evropskými normami a direktivami EU se musí přizpůsobit i všichni obchodní partneři z nečlenských zemí EU, pokud chtějí dodávat své výrobky a služby na tyto trhy. Přehled důležitých odkazů na internetu vztahujících se k označení CE je uveden na webovém portálu BusinessInfo21 , který provozuje agentura CZECH TRADE ve spolupráci s Ministerstvem průmyslu a obchodu (MPO) a který přináší kromě odkazů na webové stránky nejdůležitějších tuzemských akreditačních a normalizačních institucí rovněž aktivní „linky“ na nejdůležitější zahraniční informační zdroje související s problematikou označování výrobků značkou CE22 . Jde o stránky Mezinárodní organizace pro normalizaci (ISO), Evropského výboru pro normalizaci (CEN), Evropského institutu pro normalizaci v telekomunikacích (ETSI) či Evropského výboru pro normalizaci v elektrotechnice (CENELEC). To vedlo i k rozmachu zavádění QMS podle norem řady ISO 9000 v 90. letech v ČR. Usnesením vlády ČR č. 458 ze dne 10. 5. 2000 byla přijata Národní politika podpory jakosti23 (NPJ) jako souhrn metod a nástrojů ovlivňování jakosti výrobků, služeb, činností v rámci národní ekonomiky a služeb veřejné správy. Cílem programu NPJ je vytvořit v ČR prostředí, ve kterém je jakost přirozenou součástí života společnosti. Národní politika podpory jakosti dále obsahuje následující teze: • plná harmonizace české legislativy s legislativou EU v oblasti veřejných zájmů – ochrana života, zdraví a majetku občanů; • všeobecná změna myšlení a přístupů k problematice jakosti, včetně mediální podpory; • zvyšování jakosti služeb veřejného sektoru – zdravotnictví, doprava, školství, úřady státní a místní správy; • podpora projektů celospolečenského významu (integrovaný management: ISO 9000 + ISO 14000 + BS OHSAS 18001); • podpora podnikových programů managementu ISO 9000, EMAS a Evropská cena za jakost; • výchova k jakosti na školách, podpora programů celoživotního vzdělávání, vydávání propagačních a odborných publikací. Vrcholným poradním, iniciačním a koordinačním orgánem vlády ČR, zaměřeným na podporu rozvoje managementu a uplatňování Národní politiky podpory jakosti v ČR je Rada ČR pro jakost. Řízením Rady ČR pro jakost je pověřeno MPO. Statutárními orgány Rady jsou její předseda a místopředseda; sekretariát Rady zajišťují pracovníci MPO - výkonný místopředseda Rady ČR pro jakost a tajemník Rady. V působnosti Rady ČR pro jakost pracuje při České společnosti pro jakost24 Národní informační středisko pro podporu jakosti (NIS-PJ), které zabezpečuje realizaci aktivit pořádaných v rámci Národní politiky podpory jakosti. Česká společnost pro jakost (ČSJ) je občanské sdružení, které sdružuje občany, kteří buď pracují v oblasti jakosti nebo se o jakost zajímají jako spotřebitelé či zákazníci. V současné době má více než 1800 individuálních členů a 98 členů kolektivních. Založení ČSJ v roce 1990 umožnilo sjednotit a soustředit názory a myšlenky ovlivňující vývoj pohledů na jakost v 21 http://www.businessinfo.cz/cz/ 22 http://www.businessinfo.cz/cz/clanek/pravo-eu/prehled-dulezitych-odkazu-na-internetu/1000459/4237/ 23 http://www.npj.cz/ 24 http://www.csq.cz/ 11 ČR. ČSJ zajišťuje v ČR v rámci Evropské politiky podpory jakosti, vyhlášené Evropskou komisí v roce 1994, Evropský týden jakosti a spolupodílí se na Evropské ceně za jakost. Evropský týden jakosti je celoevropskou aktivitou organizovanou Evropskou platformou. Tu vytvořily EOQ a EFQM s cílem sjednotit postupy na podporu rozvoje evropské jakosti. ČSJ spolupracuje se Sdružením pro Cenu ČR za jakost při realizaci programu Národní ceny ČR za jakost. Podílí na realizaci programu Evropské ceny za jakost pro malé a střední podniky, který byl vyhlášen na konci roku 1996 a který umožňuje českým podnikům zcela nediskriminační přístup. ČSJ zpracovala pro vládu ČR zásady národní politiky podpory jakosti a zabezpečuje fungování Národního informačního střediska pro podporu jakosti. 1.2 Historie environmentálního managementu V důsledku toho, že společnost si uvědomuje význam ochrany životního prostředí a kladně hodnotí snahy organizací o snižování negativních vlivů své činnosti na životní prostředí, získávají organizace, jež uvádí, že se chovají šetrně k životnímu prostředí, jisté výhody. Jedním ze způsobů, jak organizace tyto snahy realizovaly bylo, že aplikovaly zásady environmentálního managementu obsažené v Podnikatelské charty pro trvale udržitelný rozvoj, jež byla přijata v roce 1991. Na jedné straně to sice vedlo k rozšiřování aplikace charty, ale na druhé straně to díky důvodu volných formulací, jež jsou v chartě uvedeny, vedlo také často k jejímu zneužívání. Ne každá organizace, která prohlašovala, že dodržuje zásady Charty, je skutečně dodržovala. Aby se zneužívání charty zabránilo, začaly se pro zavádění a také pro ověřování zavedení tohoto typu environmentálního managementu, označeného jako systém environmentálního managementu (EMS), respektive environmentální manažerský systém, využívat strukturované řídící systémy, zachovávající určitá kontrolovatelná pravidla. Směrnice nebo programy, respektující tato pravidla, které lze souhrnně označit jako nástroje na zavádění a ověřování EMS, vznikaly na mezinárodní i mnoha národních úrovních. Charakteristické rysy systému environmentálního managementu tvoří: • Nezastupitelná úloha vrcholového vedení organizace, které řídí přijetí environmentální politiky a stanovení environmentálních cílů a programů. • Respektování národní environmentální legislativy, mapování relevantních právních a jiných předpisů v podobě registru legislativy25 . • Vymezení environmentálních vlivů činnosti a produktů organizace a vytipování vlivů s významným vlivem na životní prostředí (určení priorit). • Zavedení dokumentace v organizaci upravující environmentální chování a jednání včetně případů ekologických havárií. • Vedení záznamů o všech relevantních environmentálních skutečnostech. • Zabezpečení environmentálního povědomí všech zaměstnanců a zejména zaměstnanců, kteří mají významný vliv na životní prostředí. První normy pro zavádění EMS zveřejnilo již v roce 1989 Nizozemí. Přestože nezískaly velký mezinárodní ohlas, posloužily jako podklad pro mnohem známější britskou normu BS 7750 (British Standard 7750 „Specification for Environmental Management Systems“). Na jejím základě byla navržena norma ISO 14001:1996, jenž po formální stránce odpovídala tehdejší 25 Legislativa zaměřená na ochranu životního prostředí prošla v poslední době prudkým vývojem a koresponduje s legislativními požadavky EU. I zde jde o dynamicky se vyvíjející oblast práva, takže lze předpokládat, že český právní řád v oblasti ochrany životního prostředí bude dále rozšiřován. Těžiště environmentální legislativy směrodatné pro podnikovou praxi představují předpisy upravující nakládání s odpady, ochranu ovzduší, vodní hospodářství, integrovanou prevenci znečišťování, ochranu půdy a lesní hospodářství, nakládání s chemickými látkami a prevenci závažných havárií. Aktuální přehled platných dokumentů lze nalézt na nabízí webové stránka Ministerstva životního prostředí: http://www.mzp.cz/cz/legislativa . 12 mezinárodní normě pro řízení jakosti ISO 9000:1987. Normy ISO řady 14000 představují celosvětově transparentní normativní dokumenty, které slouží jak k zavedení EMS do podnikové praxe, tak pro certifikaci těchto systémů s využitím normy ISO 19011. V roce 2004 došlo k revizi těchto norem, v současnosti platí norma ISO 14001:2004 a její český ekvivalent ČSN EN ISO 14 001:2005 „Systém environmentálního managementu – Požadavky s návodem pro použití“. Tato norma je analogická s normou ISO 9001:2000, neboť představuje kriteriální normu, podle níž se provádí vlastní certifikace zavedeného a provozovaného EMS. Další základní revidovaná norma ISO 14004:2004, má český ekvivalent ČSN EN ISO 14004:2005 „Systém environmentálního managementu – Všeobecná směrnice k zásadám, systémům a podpůrným metodám“, představuje metodickou pomůcku pro zavádění EMS do podnikové praxe. Vedle těchto norem, klíčových pro zavádění a udržování EMS, byla vydána řada dalších norem ISO řady 14000, které lze využít při hodnocení environmentálního profilu organizace, posuzování životního cyklu apod. Za svoji desetiletou existenci doznaly normy ISO řady 14000 celosvětového rozšíření. V ČR k jejich rozšíření1 bezpochyby přispěl i požadavek zákona o veřejných zakázkách, který požaduje při jejich vypisování, aby subjekty hlásící se do tendrů využívaly EMS. V EU existuje pro zavádění environmentálních manažerských systémů program EMAS26 (zkratka z anglického názvu "Environmental Management and Audit Scheme"), který se řídil Nařízením rady (EHS) č. 1836/1993 „o dobrovolné účasti průmyslových podniků v programu Evropského společenství pro eko-management a audit“. V roce 1998 byla zahájena revize programu EMAS, která vyústila ve vydání nového Nařízení Evropského parlamentu a Rady ES č. 761/2001, známého pod označením EMAS II. Hlavním cílem revize bylo: • rozšířit platnosti nařízení z oblasti průmyslu na všechny ekonomické sektory, včetně veřejných institucí; • zapojit zaměstnance do problematiky EMS a hledání cest, jak zlepšovat životní prostředí; • posílit kompatibilitu mezi EMAS a normou ISO 14001 využitím ISO 14001 jako základu při zavádění a provozování EMS; • zavést loga programu, které mohou používat organizace, jež splní příslušné požadavky EMAS, ke své propagaci. Oba systémy (ISO 14001 i EMAS) mají přibližně stejné požadavky na zavedení a udržování EMS. V EMAS jsou uvedeny i další požadavky, jdoucí nad rámec normy ISO 14001. Odlišnosti jsou i v ověřování EMS: zatímco certifikace podle ISO 14001 se předpokládá prostřednictvím akreditovaných certifikačních organizací (stejně jak je tomu i v případě certifikací systémů jakosti), tak certifikace podle EMAS vyžaduje verifikaci systému autorizovanými verifikátory, kteří ověří prohlášení o stavu životního prostředí organizace (forma prohlášení je specifikována v příloze III nařízení EMAS II). Program EMAS byl v ČR ustanoven na základě Usnesení vlády České republiky č. 466/1998 o schválení Národního programu zavedení systému řízení podniku a auditu z hlediska ochrany životního prostředí27 . Organizace ISO v prosinci 2004 vydala aktualizovanou normu ISO 14001, kterou Česká republika přejala jako ČSN EN ISO 14001 v červnu 2005. Vzhledem k tomu, že požadavky normy ISO 14001 tvoří základ EMS podle EMAS, rozhodla se Evropská komise přistoupit k úpravě přílohy I. nařízení č. 761/2001. V současné době je prováděna revize EMAS II a je dán široké diskusi návrh EMAS III. 26 http://ec.europa.eu/environment/emas/tools/contacts/helpdesk_en.htm 27 http://www.cenia.cz/web/www/web-pub2.nsf/$pid/MZPMSFGSEV4B 13 Organizace, které se v ČR rozhodnou zavádět EMS, mají dvě možnosti: postupovat podle přístupů vyplývajících buď z norem ISO řady 14000, nebo z přístupů EMAS. Drtivá většina českých firem se rozhodla certifikaci podle normy ISO 1400128 . Normy IS0 řady 14000 pro EMS jsou pojaty mnohem šíře a netýkají se pouze postupu zavádění a revize EMS, ale zahrnují i normalizaci některých důležitých metod, jež lze v EMS použít, jako jsou hodnocení environmentálního profilu podniku, hodnocení životního cyklu výrobku, environmentální reporting a ekolabelling (označování ekologických výrobků). 1.3 Historie managementu bezpečnosti a ochrany zdraví při práci Každá lidská činnost sebou samozřejmě nese rizika různého druhu i velikosti. Znalost těchto rizik umožňuje je snižovat, řídit, případně zcela eliminovat. Velmi významným důvodem pro tyto snahy jsou požadavky legislativy. Nařízení vlády ČR č. 361/2007 Sb., kterým se stanoví podmínky ochrany zdraví při práci, je prováděcím právním předpisem zákona č. 309/2006 Sb., kterým se upravují další požadavky bezpečnosti a ochrany zdraví při práci v pracovněprávních vztazích a o zajištění bezpečnosti a ochrany zdraví při činnosti nebo poskytování služeb mimo pracovněprávní vztahy a ?k zákoníku práce. Tím se legislativa ČR přibližuje v oblasti bezpečnosti a ochrany zdraví při práci úrovni legislativy EU. Základem evropské legislativy v oblasti bezpečnosti a ochrany zdraví při práci je článek 118A Smlouvy o EU, který ukládá harmonizovat podmínky, zejména v pracovním prostředí, pro ochranu zdraví a bezpečnost pracujících. V roce 1989 Rada EU vydala směrnici 89/391/EHS o zavádění opatření pro zlepšení bezpečnosti a ochrany zdraví zaměstnanců při práci, na kterou navazuje 19 samostatných směrnic29 , které mají posílit zavádění článku 118A do praxe. Současně tyto směrnice podporují možnost pracujících ovlivňovat své pracovní prostředí směrem k bezpečnosti a zdraví. Evropská komise zvolila následující kriteria pro plán práce na uvedených směrnicích: • závažnost rizika nehody nebo choroby z povolání; • počet pracujících vystavených tomuto riziku; • možnosti prevence. Další zainteresovanou organizací, podílející se na bezpečnosti a ochraně zdraví zaměstnanců, je Mezinárodní organizace práce (International Labour Organization – ILO)30 . Byla založena v roce 1919 a v roce 1946 se stala první specializovanou agenturou OSN. ILO se zabývá podporou sociální spravedlnosti a mezinárodně uznávaných lidských a pracovních práv, vytváří mezinárodní standardy práce formou úmluv a doporučení, které udávají minimum pro základní pracovní právo. Jednou z upravených oblastí je také bezpečnost a ochrana zdraví při práci. Řada úmluv ILO byla ratifikována i ČR a transformována do české legislativy. Rovněž Světová zdravotnická organizace (World Health Organization - WHO)31 se angažuje v oblasti ochrany lidského zdraví. V roce 1989 byla v rámci evropské konference o životním prostředí a zdraví vytvořena Evropská charta o životním prostředí a zdraví. Tato charta uvádí práva jednotlivců na životní prostředí, které nebude poškozovat jejich zdraví a pohodu, zodpovědnost všech sektorů společnosti, vlád, státní správy, veřejných a soukromých osob za ochranu životního prostředí tak, aby nebylo narušeno zdraví lidí a také principy veřejné politiky. Dále charta uvádí strategické prvky a priority. Vedle legislativy navazující na výše zmíněné dokumenty existují ještě další strategické dokumenty, jako např. Národní akční plán pro životní prostředí a zdraví (NEHAP) sestavený Ministerstvem zdravotnictví ČR v souladu s principy Evropské charty o životním prostředí a 28 http://www.cenia.cz/web/www/web-pub2.nsf/$pid/MZPMSFHNTZ1P/$FILE/RegistrISO14001.pdf 29 http://www.bozpinfo.cz/legislativa/pravo-eu/smernice_eu/Smernice_BP.html 30 http://www.ilo.org/ 31 http://www.who.int/ 14 zdraví. Tento plán vytyčuje jednotlivé oblasti, kam budou směřovat další aktivity při podpoře zdraví obyvatel. Jedna z kapitol je rovněž zaměřena i na ochranu zdraví při práci32 . Další iniciativou v oblasti řízení bezpečnosti a ochrany zdraví při práci je Program „Bezpečný podnik“, který vyhlásil ministr práce a sociálních věcí ČR v roce 1996. Má za cíl zvýšit úroveň bezpečnosti a ochrany zdraví při práci včetně ochrany životního prostředí u organizací, vytvořit podmínky pro zavedení efektivního systému řízení a napomoci jim tak snáze splnit ustanovení české legislativy, vycházející z požadavků směrnic EU. Garantem programu „Bezpečný podnik“ je Český úřad bezpečnosti práce, který považuje prosazování a realizaci programu „Bezpečný podnik“ v organizacích, pro které je určen, za prioritní, a to zejména s ohledem na potřebu účinnějšího prosazování zákonem stanovených požadavků na prevenci. V oblasti standardizace manažerských systémů organizace je to především norma ČSN OHSAS 18001:2008 „Systémy managementu bezpečnosti a ochrany zdraví při práci – Požadavky.“, která specifikuje požadavky na systém managementu bezpečnosti a ochrany zdraví při práci (BOZP). Tato norma je českou verzí britské normy BS OHSAS 18001:2007. Hlavním cílem této normy je podpořit a propagovat správnou praxi v oblasti BOZP. Implementace této normy umožní organizaci systematické přípravy a zavedení politiky a cílů, které budou brát v úvahu nejen požadavky právních předpisů, ale i rizika v oblasti BOZP. Tato norma je koncipována tak, aby umožňovala integraci se systémem řízení kvality a ochrany životního prostředí, a aby mohla být uplatněna v organizacích všech typů a velikostí a v různých geografických, kulturních a sociálních podmínkách. Norma OHSAS 18001 byla zpracována tak, aby byla kompatibilní s normami ISO 9001:2000 (QMS) a ISO 14001:2004 (EMS) k usnadnění integrace systémů managementu kvality, environmentálního managementu a managementu bezpečnosti a ochrany zdraví při práci v organizacích, které si to přejí. Norma OHSAS bude revidována nebo doplňována, bude-li to považováno za vhodné. Kdykoliv dojde k novému vydání norem ISO 9001 nebo ISO 14001, bude vždy provedena její revize, aby byla zajištěna její neustálá kompatibilita s těmito normami. Dále je nutno zdůraznit, že Program „Bezpečný podnik“ je návodem k zavedení systému řízení BOZP, který vychází z principů a zásad stanovených pro BOZP dokumentem OHSAS 18001, příručkou ILO – OSH 2001 (vydanou MOP), a je zároveň v souladu s principy a zásadami uplatňovanými systémovými normami ČSN EN ISO 14001:2005 a ČSN EN ISO 9001:2000. Svými požadavky je kompatibilní s požadavky těchto dokumentů. Tato kompatibilita umožňuje sladit systém řízení BOZP s QMS a EMS v organizaci již zavedených a implementovat jej do celkového systému řízení, uplatňovaného v organizaci (umožňuje vytvoření integrovaného systému řízení, zahrnujícího oblast bezpečnosti a ochrany zdraví při práci, jakosti i ochrany životního prostředí). Organizace tak může zavedení systému řízení BOZP podle programu „Bezpečný podnik“ realizovat buď současně s oběma uvedenými systémy řízení nebo jednotlivě s QMS nebo EMS, případně jej integrovat s těmito dvěma v organizaci již zavedenými systémy řízení. Program „Bezpečný podnik“ zahrnuje v rámci požadavků k zavedení systému řízení BOZP, ve vymezeném rozsahu také požadavky, týkající se ochrany životního prostředí a požární ochrany, (zejména - nakládání s odpady, s nebezpečnými látkami /přípravky/ a požadavky stanovící základní povinnosti uložené organizacím předpisy na úseku požární ochrany). Při prověrce jak organizace splnila požadavky stanovené programem „Bezpečný podnik“, se ověřuje systémové zabezpečení těchto záležitostí, přičemž se vychází především z výsledků 32 http://www1.szu.cz/chzp/nehap/kap_04.htm#4.4 15 kontrol, provedených v organizaci k tomu kompetentními orgány (ČIŽP, orgány vykonávajícími státní požární dozor atd.) a z dokumentace organizace. 1.4 Historie managementu služeb informačních technologií Ve osmdesátých letech minulého století se ve světě objevuje nový specifický problém: vzrůstající závislost na informačních a komunikačních technologiích (ICT) a z toho plynoucí růst požadavků na kvalitu služeb informačních technologií (IT). Neudržitelná situace na poli spolehlivosti IT služeb vedla britskou vládu k tomu, že pověřila britskou vládní agenturu CCTA (Central Computer and Telecommunications Agency) zpracováním příručky, podle které by organizace (jak vládní, tak soukromé), participující na dodávkách IT služeb pro britskou vládu, musely závazně postupovat. Agentura CCTA postupně vydala 46 svazků shrnujících nejlepší zkušenosti (Best Practices) z oblasti managementu služeb IT a infrastruktury pro potřeby britských vládních úřadů a podnikatelských subjektů dodávajících IT služby vládě. Začátkem 90. let minulého století vzniká fórum itSMF (IT Service Management Forum) a stává se mezinárodní komunitou profesionálů i odborné veřejnosti z oblasti managementu služeb IT a rámce ITIL33 (Information Technology Infrastructure Library což přeloženo do češtiny znamená "knihovna infrastruktury informačních technologií"34 ), který je přejímán dalšími subjekty soukromého i veřejného sektoru. V té době začalo vydávání prvních certifikátů odborné způsobilosti pro oblast managementu služeb IT podle ITIL a agentura CCTA zahájila práce na vydání druhé verze knihovny ITIL. Vzniká agentura OGC (Office of Government Commerce) sloučením tří britských vládních agentur včetně CCTA a stává se autoritou pro reedice a vydávání dalších publikací knihovny ITIL. Agentura OGC dokončuje práci na druhé verzi knihovny ITIL - původních 46 svazků knihovny je přepracováno do současné podoby. Základem druhé verze knihovny ITIL jsou tituly „Service Support“ a „Service Delivery“, které obsahují podstatnou část z původních 46 svazků a v podstatě definují oblast managementu služeb IT. Jsou vydávány další díly knihovny ITIL. V současné době je aktuální knihovna ITIL je celosvětovou normou pro procesní rámec pro poskytování informačních služeb IT, která má následující charakteristické rysy: • Procesní řízení : ITIL používá moderní procesně orientovaný přístup k řízení služeb IT (na rozdíl od tradičního funkcionálního řízení). Proces je logický sled úkolů transformujících nějaký vstup na nějaký výstup, přičemž plnění jednotlivých úkolů v procesu je zajišťováno rolemi s jasně definovanými odpovědnostmi. Celý proces je řízen, monitorován, měřen, vyhodnocován a neustále vylepšován, což je odpovědností vlastníka procesu. • Zákaznicky orientovaný přístup: Tento rys vyplývá přímo ze samotné podstaty managementu služeb IT; všechny procesy jsou designovány s ohledem na potřeby zákazníka, tzn. každá aktivita, každý úkon v každém procesu musí přinášet nějakou přidanou hodnotu pro zákazníka - pokud ne, pak je taková činnost nadbytečná. • Jednotná terminologie: Tato jednotná terminologie je někdy málo doceňovanou nebo úplně opomíjenou charakteristikou ITIL, ale jen do té doby, než budeme poprvé v praxi řešit nedorozumění plynoucí z toho, že někdo používá stejný termín v jiném významu, než očekáváme. • Nezávislost na platformě: Rámec procesů managementu IT služeb podle ITIL je nezávislý na jakékoliv platformě. Dokonce je možné ITIL použít i pro navrhování 33 http://www.itil-officialsite.com/AboutITIL/WhatisITIL.asp 34 http://www.itil.cz/ 16 procesů (úplně mimo oblast informačních a komunikačních technologií - ICT) v jakékoliv organizaci, která podniká ve službách IT. • Veřejná přístupnost: Knihovna ITIL je volně dostupná na webu, což znamená, že každý si může knihy ITIL koupit a procesy managementu služeb IT podle ITIL ve své organizaci implementovat. Obr. 1.3: Celková architektura rámce ITIL. Obr. 1.4: Charakteristika služeb IT v knihovně ITIL V3. Rámec ITIL je v současné době celosvětově nejrozšířenější normou pro regulaci a poskytování IT služeb. Z jeho principů vychází i norma ISO/IEC 20000:2005, která je první celosvětový standard, který se speciálně vztahuje k managementu služeb IT a zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů u procesů v IT. Analogie s normami pro QMS je nabíledni. Stejně jako norma ISO 9001, která je základem pro uzavírání bilaterálních vztahů a ISO 9004 a která je návodem, jak je optimálně plnit, i zde je norma 17 ISO/IEC 20000-1:2005 „Information technology – Service management – Part 1: Specification“ zásadní, stanovující kritéria, zatímco norma ISO/IEC 20000-2:2005 „ISO/IEC 20000-2:2005 Information technology – Service management – Part 2: Code of praktice“ je více návodem, jak je plnit. Norma ISO/IEC 20000-1:2005 je oproti normě ISO 9001:2000 mnohem zásadovější, obsahuje velké množství povinných dokumentů i záznamů. … nešlo by to přeformulovat? Zdá se mi to trochu nepřehledné. Normy ISO řady 20000 prosazují přijetí integrovaného procesního přístupu k efektivnímu poskytování řízených informačních služeb, respektive IT, aby byly splněny podnikatelské požadavky a požadavky zákazníků. Aby organizace fungovala efektivně, musí identifikovat a kontrolovat řadu vzájemně souvisejících činností. Činnost využívající zdroje, která je řízena za účelem umožnění přeměny vstupů ve výstupy, může být považována za proces. Výstup z jednoho procesu tvoří často vstup do dalšího. Pro organizace může implementace norem ISO řady 20000 znamenat: • standardizací procesů a zefektivnění činnosti při poskytování služeb IT; • řízení IT služeb od strategie k vlastní úrovni služeb IT; • minimalizací výpadků s podstatným zvýšením kvality podpory a dostupnosti služeb IT; • standardní procesy umožňující rychlé přizpůsobení IT změnám v podnikání nebo rozdílným požadavkům zákazníků; • získání konkurenční výhody před ostatními poskytovateli služeb IT. 1.5 Historie managementu řízení bezpečnosti informací V poslední době se stále častěji hovoří o systému managementu informační bezpečnosti (tzv. ISMS - Information Security Management System), který představuje osvědčený způsob, jak zajistit a řídit bezpečnost informací a integrovat ji do stávajícího systému řízení organizace. ISMS je tedy část celkového systému managementu organizace, která se orientuje na řízení rizik v oblasti bezpečnosti informací. V říjnu 2005 byla britská norma BS 7799-2 přijata organizací ISO jako mezinárodní norma ISO/IEC 27001:2005 „Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky“, která určuje systémový přístup k zavádění, provozu, monitorování, přezkoumání, udržování a zlepšování „risk managementu“ bezpečnosti informací. Norma je propojena a harmonizována s normami ISO/IEC 9001:2000 a ISO/IEC 14001:2004 tak, aby bylo podpořeno jejich konzistentní a jednotné zavedení a provoz. Cílem ISMS je aktivně řídit rizika, která pro organizaci vyplývají z využití informačních systémů a technologií a ze závislosti procesů na informacích. Analogicky k QMS, EMS a BOZP je možné ISMS certifikovat, a to jak samostatně, tak v rámci integrovaného systému řízení. Certifikát, ověřený nezávislou autoritou, hraje roli prvku důvěry s partnery a zákazníky a vytváří konkurenční výhodu. ISMS prosazuje procesní přístup na základě Demingova cyklu Plánuj – Dělej – Kontroluj – Jednej, viz Kapitola 2. Je kompatibilní s QMS, EMS a BOZP a umožňuje integraci a sdílení společných zdrojů, principů a nástrojů (např. řízené dokumentace), a tím snížení nákladů na zavedení a provoz. Je součástí celkového systému řízení, která akcentuje důležitost ochrany informací, jakožto cenného aktiva organizace. Zahrnuje know-how – ověřené nejlepší praktiky bezpečnosti informací. 1.6 Posuzování jakosti produktů IT Zatímco normy ISO řady 9000, speciálně jejich české ekvivalenty ČSN EN ISO 9000:2008 „Systémy managementu kvality - Základní principy a slovník“, ČSN EN ISO 9001:2002 18 „Systémy managementu jakosti – Požadavky“, ČSN EN ISO 9004:2002 „Systémy managementu jakosti - Směrnice pro zlepšování výkonnosti“ a ČSN ISO/IEC 90003:2005 „Softwarové inženýrství - Směrnice pro použití ISO 9001:2000 na počítačový software“, které se týkají procesu tvorby software jsou poměrně známé a užívané, je znalost norem ISO, které hodnotí vzniklý produkt přímo, značně nižší. S cílem dát uživatelům softwaru do rukou účinný nástroj, jak formulovat své potřeby a promítnout je do požadavků na software, kontrolovat, zda je daný produkt splňuje a objektivně míru splnění svých potřeb kvantifikovat, tedy měřit, zahájil již v roce 1989 společný technický výbor ISO/IEC JTC1 „Informační technologie“ práce na měření a hodnocení jakosti produktu. Tyto práce probíhají převážně v podvýboru SC 7 „Softwarové a systémové inženýrství“. Produktem se míní v připravovaných normách vždy výrobek nebo služba nebo kombinace výrobku a služby spojené s jejím dodáním a užíváním výrobku. V případě produktů z oblasti IT půjde většinou zejména o tuto kombinaci. Normy, o kterých budeme hovořit, se týkají měření a hodnocení jakosti systémů obsahujících software bez ohledu na to, zda jsou vyvíjeny a dodávány na zakázku nebo distribuovány konfekčně a bez ohledu na to, zda je hodnotí jejich uživatel, ten kdo je poptává, ten kdo je vyvíjí nebo nezávislá třetí strana. Jakostí/kvalitou se míní v souladu s obecnými normami ISO souhrn podstatných vlastností produktu, které určují míru splnění daných a stanovených potřeb uživatele, je-li produkt užíván stanoveným způsobem. Slovo kvalita se užívá jako synonymum pro jakost. Měření je cesta, jak objektivizovat jakékoliv hodnocení, tedy i hodnocení jakosti. Jeho podstatou je popis vybraných atributů entit z reálného světa formálními objekty, s kterými může pracovat matematika a výpočetní technika, nejčastěji tedy čísly. Otázky měření jsou regulovány obecnou normou ČSN ISO/IEC 15939 „Informační technologie – Softwarové inženýrství – Proces měření softwaru“. Ta zavádí terminologii pro danou oblast, popisuje jednotlivé aktivity v průběhu měření a podmínky pro to, aby měření bylo korektní. Jakost/kvalita je v podstatě stupněm uspokojení potřeb uživatele. Různí uživatelé IT však mají různé potřeby. U produktů z oblasti IT je tato diverzifikace potřeb a požadavků, které by z těchto potřeb měly vyplynout, velmi výrazná. Proto nelze požadavky na jakost, ani hodnocení jakosti stanovit jednotně. Typy požadavků na jakost vyjadřují různé charakteristiky jakosti. V současné době se odborníci v oblasti IT shodli, že pro systémy a IT obsahující software je vhodné vymezit šest základních charakteristik jakosti: • Funkčnost, jako schopnost produktu zabezpečit požadované funkce (důležité je, zda tyto funkce jsou zabezpečeny, nikoliv jak a za jakou cenu). • Bezporuchovost, jako schopnost produktu zajistit za daných podmínek požadovanou úroveň výkonu a poskytovaných služeb. • Použitelnost, jako schopnost produktu být využíván při přiměřené míře úsilí potřebného na seznámení se s jeho možnostmi a jeho běžné provozování v daných podmínkách. • Účinnost, jako schopnost produktu zajistit služby s přiměřenými nároky na zdroje systému a v přiměřené době. • Udržovatelnost, jako schopnost produktu být v průběhu používání měněn s cílem přizpůsobení požadavkům uživatele, odstranění zjištěných nedostatků, rozvoje a zlepšování funkcí nebo změny prostředí v kterém má pracovat (hardwarového, softwarového, ale i například legislativního). • Přenositelnost, jako schopnost produktu spolupracovat na datové i procesní úrovni s jinými systémy, včetně těch, které pracují na jiných platformách (datových, softwarových, ale i hardwarových). Důležitou zásadou je, že požadavky na každou z charakteristik je třeba formulovat odděleně a míru jejich splnění i odděleně hodnotit. Vyšší míra splnění požadavků v jedné charakteristice 19 nemůže nahradit nižší míru splnění charakteristiky jiné, pokud příslušný požadavek skutečně odráží dané potřeby. Nyní se stručně zmíníme o jednotlivých normách, které jsou pro danou oblast k dispozici, a dále o projektu SQuaRE v mezinárodní normalizace jakosti informatických produktů. Norma ČSN ISO/IEC 12119 „Informační technologie – Softwarové balíky – Požadavky na jakost a zkoušení“ byla dokončena jako první již v roce 1994 a byla v roce 2000 nahrazena normou ISO/IEC 9126-1 „Informační technologie – Softwarové inženýrství – Jakost produktu – Část 1: Model jakosti“, převzatou i jako ČSN se třemi technickými zprávami, které mají povahu pouhých nezávazných doporučení: • ISO/IEC TR 9126 - 2 „Informační technologie – Softwarové inženýrství – Jakost produktu – Část 2: Vnější metriky“; • ISO/IEC TR 9126 - 3 „Informační technologie – Softwarové inženýrství – Jakost produktu – Část 3: Vnitřní metriky“; • ISO/IEC TR 9126 - 4 „Informační technologie – Softwarové inženýrství – Jakost produktu– Část 4: Metriky jakosti při používání“. Další norma z této oblasti ISO/IEC 14598 „Informační technologie – Softwarové inženýrství – Hodnocení softwarového produktu“ se dělí na šest částí s názvy: • ISO/IEC 14598-1 „Část 1: Obecný přehled“; • ISO/IEC 14598-2 „Část 2: Plánování a řízení“; • ISO/IEC 14598-3 „Část 3: Proces pro projektanta“; • ISO/IEC 14598-4 „Část 4: Proces pro akvizitéra“; • ISO/IEC 14598-5 „Část 5: Proces pro hodnotitele“; • ISO/IEC 14598-?„Část 6: Dokumentace vyhodnocovacích postupů“. Prvá část této normy, ISO/IEC 14598-1 je zastřešující dokument, definující pojmy a shrnující principy modelu jakosti, popsaného v řadě ISO/IEC 9126. Věcná roztříštěnost norem pro jakost informatického produktu i formální nesourodost spočívající v tom, že normy jsou různě a nepříliš přehledně číslovány, vedla k záměru vše sjednotit a po vzoru norem ISO řad 9000 a 14000 vyhradit pro normy jakosti produktu z hlediska jeho uživatele jednotnou řadu norem. Vedení organizací ISO a IEC pro tento účel přidělilo těmto normám čísla mezi 25000 a 25099, tedy 250xx. Projekt vytvoření norem této řady má zkratku SQuaRE podle svého názvu Software Quality Requirements and Evaluation a skladba norem této nové řady má být následující: V obecné části 2500n budou normy: • 25000 - Obecný přehled a průvodce po SQuaRE, který bude zastřešujícím dokumentem, definujícím terminologii užívanou v rámci řady, popisující architekturu systému SQuaRE a poskytující informace o tom, v které části najde uživatel řady potřebné informace. • 25001 – Plánování a management, obsahující základní informace o plánování a řízení projektů hodnocení jakosti z hlediska managementu. Část 2501n – Model jakosti bude obsahovat jedinou normu: • 25010 – Model jakosti, popisující model jakosti, definující jednotlivé charakteristiky, podcharakteristiky a popisující, jak uživatelské požadavky na jakost převádět na požadavky na produkt. V části 2502n – Míry pro jakost, budou následující normy: • 25020 – Referenční model a průvodce mírami, shrnující společné informace o mírách jednotlivých atributů. 20 • 25021 – Primitiva pro měření, zahrnující soubor fundamentálních měr, které lze na produktu či na jeho funkci měřit přímo, tedy pouze pozorováním produktu nebo jeho chování (funkce) a které slouží za základ pro výpočet jednotlivých měr jakosti. Za poznámku stojí i zásady, podle kterých se řídí jejich formulace, a kapitoly upřesňující požadavky na tak zvanou „vnitřní jakost“, „vnější jakost“ a „jakost při použití“. • 25022 – Vnitřní míry, představující kvalifikovaný výběr měr ze současné technické zprávy 9126-3, ověřený zkušeností a praxí. • 25023 – Vnější míry, představující kvalifikovaný výběr měr ze současné technické zprávy 9126-2, ověřený zkušeností a praxí. • 25024 – Míry pro jakost při použití, představující kvalifikovaný výběr měr ze současné technické zprávy 9126-4, ověřený zkušeností a praxí. • 25025 – Dokumentace hodnotících postupů, nahrazující předpis pro dokumentování postupů měření v současné normě 14598-6. V části 2503n – Požadavky na jakost bude jediná norma: • 25030 – Požadavky na jakost, která má obsahovat obecné údaje o typech požadavků, zásady, podle kterých se řídí jejich formulace, a kapitoly upřesňující požadavky na tak zvanou „vnitřní jakost“, „vnější jakost“ a „jakost při použití“. Část 2504n – Hodnocení jakosti má obsahovat normy: • 25040 – Přehled o procesech hodnocení, obsahující obecné zásady hodnocení produktů z různých pohledů, nahrazujících současnou normu 14598-1. • 25041 – Postup projektanta, nahrazující současnou normu 14598-3. • 25042 – Postup akvizitéra, nahrazující současnou normu 14598-4. • 25043 – Postup hodnotitele, nahrazující současnou normu 14598-5. Práce na projektu SQuaRE byly inicializovány na podzim roku 1999 a projekt byl zahájen v roce 2000. Stav řešení jeho jednotlivých částí je různý. Za zmínku stojí, že ČR se prací na normalizaci jakosti softwarových produktů účastní již od roku 1989. Zdá se však, že původní záměr, vytvořit novou řadu norem opravdu jednotně, dodržovat jednotnou terminologii, odstranit redundanci a opakování týchž informací v jednotlivých dokumentech řady, která nutně vede k vzájemné nekonzistenci norem a vyvarovat se všem nejasným formulacím, nebude snadné dodržet. 21 2 Základy managementu V současné době existují různé manažerské systémy pro jednotlivé oblasti řízení organizace. Pro některé z těchto manažerských systémů již byly vytvořeny i formalizované certifikovatelné standardy. Každý z těchto systémů však zahrnuje pouze část z celkové problematiky řízení organizace a sám o sobě je pro organizaci nedostačující. Proto v praxi dochází k integraci těchto systémů a vlastní management organizace zahrnuje jejich vhodnou kombinaci. V této kapitole se seznámíme se základy managementu organizace a terminologií v této oblasti. 2.1 Definice managementu Od doby, kdy lidé začali vytvářet v organizaci týmy, aby dosáhli cílů, kterých nemohli dosáhnout jako jednotlivci, se stalo řízení organizace nezbytné pro zabezpečení koordinace individuálních úsilí. V současnosti se pojmem management rozumí: • Specifická funkce při řízení organizace. V tomto případě se jako management organizace označují řídící pracovníci, kteří realizují manažerské funkce. • Určitý způsob vedení lidí. Jde o způsob dosahování cílů prostřednictvím jiných. Manažer neprovádí dané úkoly sám, ale prostřednictvím jiných lidí. • Odborná disciplína. Managementem se může rozumět i soubor přístupů (názorů, doporučení, principů, technik, metod), kterých využívají manažeři k zvládnutí manažerských funkcí, a tím dosažení cílů organizace. Za tři základní pilíře, na nichž management stojí, se považují: • Znalosti a dovednosti. • Myšlení a jeho ovlivňování. • Zabývání se spolupracovníky. Každá organizace je závislá na svém vnějším prostředí. Je součástí většího systému, jako je odvětví, do kterého patří, ekonomický systém a společnost. Smyslem její existence je, aby vstupy z vnějšího prostředí (lidé, kapitál, materiál a energie, technické znalosti a dovednosti) transformovaly do žádoucích výstupů (výrobky, služby, zisk, vzdělání atd.), viz obr. 2.1. Obr. 2.1 : Model vstup – výstup. Proces transformace lze členit z různých hledisek - podle charakteru činnosti organizace, např. jako soustavu finančních toků, výrobních operací nebo personálních vztahů. Každé z 22 těchto členění má svá specifická teoretická východiska a každé je také pouhým jednostranným popisem reality. Systémové propojení všech stránek činnosti organizace, a současně vnitřní logiku transformačního procesu poskytuje idea managementu jakožto rámce pro výkon manažerských funkcí. Osou uspořádání teoretických poznatků managementu pak nejsou tzv. klasické disciplíny (ekonomika, psychologie, sociologie, ekonomika atd.), ale plánování, organizování, rozhodování a další manažerské funkce. Výstupy transformačního procesu, stejně tak jako tento proces samotný, vytváří nejen zisk, jako zdroj rozšířené reprodukce, ale také nové poznatky, zkušenosti a dovednosti. Výstupy se pak mohou měnit na vstupy a mít následně regenerativní vliv na organizaci a systém jako celek, viz obr. 2.2. Obr. 2.2: Systémový přístup k managementu. Dobrý manažer musí sledovat chování vnějšího prostředí. V případě jakékoli změny v prostředí musí být schopen na změnu reagovat. Jelikož vnější prostředí lze ovlivnit velmi zřídka, tak důležité reakce na jeho změnu musí nastat uvnitř organizace. 23 Pokud pohlížíme na organizaci jako na subjekt zaměřený na dosažení zisku, musí být schopna zisku dosáhnout, pomocí mnoha faktorů. Když odmyslíme vnitřní systém organizace, tak je to zejména vnější prostředí, které má velmi velký vliv na funkci a všechny změny uvnitř organizace. Podstatnou část vnějšího prostředí tvoří vstupy, dělíme je na: lidské, kapitálové, manažerské, materiálové a technologické. Za další velmi důležité vnější faktory ovlivňující činnost organizace lze považovat požadavky od vnějších zainteresovaných stran směřující k organizaci. Tyto vnější zainteresované strany dělíme na: spotřebitele (zákazníky); dodavatele; akcionáře; úřady; společnost a ostatní. 2.2 Manažerské funkce Manažerské funkce vykonávané při řízení organizace lze rozdělit do dvou základních skupin: • Sekvenční manažerské funkce (plánování, organizování, personalistika, vedení a kontrolování). • Průběžné manažerské funkce (analýza činností, rozhodování, komunikace). 2.2.1 Plánování Plánování zahrnuje výběr úkolů, cílů a činností potřebných pro jejich dosažení. To vyžaduje rozhodování o výběru z alternativních možných budoucích způsobů vykonávaní činností. Sestavit jakýkoli reálný plán není možné, aniž by byly zvažovány potřeby lidských, finančních a materiálních zdrojů. 2.2.2 Organizování Organizování v sobě zahrnuje zřízení účelné struktury rolí osob, jež pracují v dané organizaci. Účelnost organizování je chápána v tom smyslu, že zajišťuje, aby všechny úkoly potřebné pro dosažení cílů byly přiděleny, a to pokud možno těm lidem, kteří jsou schopni je splnit nejlépe. 2.2.3 Personalistika Personalistika zahrnuje zaplňování a udržování zaplněných pozicí v organizaci. Toto je prováděno pomocí identifikování požadavků na pracovní síly, seznamu disponibilních lidí, náborem, výběrem, umísťováním, propagací, oceňováním, plánováním povolání, kompenzací a školením či rozvojem jak uchazečů, tak stávajících pracovníků tak, aby uložené úkoly byly dosahovány účinně a efektivně. 2.2.4 Vedení Vedením se rozumí ovlivňování lidí tak, aby byli prospěšní organizaci a napomáhali dosahování skupinových cílů, přičemž ve vedení převládá interpersonální hledisko managementu. 2.2.5 Kontrolování Kontrolování zahrnuje měření a korekci provedení jak individuálních, tak i celkových aktivit organizace, s cílem dosáhnout jistoty, že budou v souladu s plánem. To se týká především měření dosažených výsledků vzhledem k cílům a plánům za účelem zjistit výskyt odchylek od standardů a tak pomoci k jejich odstranění. 2.3 Cíl managementu Z přirozených důvodů by měla být ve všech druzích organizací logickým a žádoucím cílem všech manažerů vytvoření nadhodnoty (zisku). Proto musí manažeři vytvořit takové prostředí, ve kterém mohou lidé dosahovat skupinových cílů při minimální spotřebě času, peněz, materiálů a minimální osobní nespokojenosti, nebo ve kterém mohou dosáhnout co nejlépe, pomocí disponibilních zdrojů, žádoucích cílů. Důležité je rovněž nejen zisku dosáhnout, ale dosahovat ho dlouhodobě. S tím souvisí i motivování lidi a zavedení motivačního programu 24 organizace, který usiluje o její prosperitu a rozvíjí aktivity pracovníků k dosažení těchto cílů. Přitom využívá všech motivačních zdrojů organizace, a to nejen finančních, ale je diferencovaný pro různé skupiny pracovníků. To vyžaduje znát zájmy a potřeby pracovníků organizace a tento motivační program srozumitelně formulovat a zveřejnit. Zákazníci jsou hlavním důvodem existence obchodování. Služby organizace nesmí končit s prodejem výrobku, ale musí pokračovat i dále, a tak dosahovat toho, že se zákazník vrací. Proto se za obecné cíle managementu považuje: • Zisk, přiměřený k jmění organizace. • Vysoká přidaná hodnota produkce. • Vysoká produktivita. • Úspěch na trhu. 2.4 Produktivita, účinnost a efektivnost Úspěšné organizace vytvářejí nadhodnotu prostřednictvím produktivních operací. Produktivitu můžeme definovat jako poměr mezi výstupem a vstupem za určité časové období při požadované kvalitě. Lze ji tedy vyjádřit takto: Produktivita = výstupy vstupy (za určité období, v požadované kvalitě) Z tohoto vztahu vyplývá, že produktivita může vzrůstat při: • zvýšení výstupů při zachování vstupů; • snížením vstupů a udržení stejných výstupů; • zvýšením výstupů, a současně snížením vstupů, což vede k nejpříznivějšímu zvýšení produktivity. Organizace používají několik druhů vstupů, jako je práce, materiály, energie a kapitál. Celkový faktor produktivity tedy kombinuje různé vstupy pro dosažení složeného výstupu. Produktivita v sobě zároveň zahrnuje účinnost a efektivnost individuální a organizační výkonnosti. Účinností se zde rozumí schopnost dosahování cílů, efektivnost pak znamená dosažení cíle s využitím co nejmenšího množství zdrojů. 2.5 Komunikace Jednou z nejdůležitějších vlastností manažera je schopnost komunikace jak podřízenými, tak s partnery. Pravidla pro dobrou komunikaci manažera jsou: • schopnost naslouchat; • schopnost kompromisů; • umět se v žít do role druhého; • umět přesvědčit – konkrétní argumenty; • umět přijmout nové myšlenky; • umět řešit konfliktní situaci; • umět přesvědčit a motivovat druhé. Komunikaci v managementu musíme rozdělit do několika rovin: a) Komunikace manažera a auditora s partnery. V ní je nejdůležitější vlastnost manažéra a auditora kvality, EMS a BOZP, která by se měla držet následujících zásad: • srozumitelně se vyjadřovat; • stále se přesvědčovat, že ho partner chápe; • orientovat se na partnera a používat častěji „VY“ nebo „MY“, místo „JÁ“; • získat důvěru partnera svou otevřeností; • používat kladná vyjádření, záporná minimalizovat. 25 b) Komunikace organizace se zákazníkem. Organizace musí určit a uplatňovat efektivní mechanismy pro komunikování se zákazníkem s ohledem na: • informace o výrobku; • vyřizování poptávek, smluv, objednávek vč. dodatků; • zpětnou vazbou od zákazníka, pochvaly, stížnosti, reklamace. c) Komunikace externí. Organizace musí určit a uplatňovat efektivní mechanismy pro komunikování s vnějšími zainteresovanými stranami, tj.: • kdo je pověřen komunikovat; • co je předmět komunikace; • jaké jsou informace o svém environmentálním a bezpečnostním profilu; • jaké jsou informace o produktu, službě; • kde prezentovat organizaci, tj. na veletrzích, v mediích, na webových stránkách a Internetu. d) Komunikace interní. Organizace musí určit a uplatňovat efektivní mechanismy pro komunikování s vnitřními zainteresovanými stranami, tj.: • způsob komunikace uvnitř firmy; • porady vedení a přenášení informací; • zápisy; • opatření k nápravě a preventivní opatření; • porady a dispečinky; • intranet, www, nástěnky ad…; • osobní přístup vedoucích pracovníků. 2.6 Demingovo schéma Pro názorné vyjádření základního manažerského přístupu k jakémukoliv systému managementu v organizaci se vžilo schéma, vytvořené původně pro oblast managementu jakosti profesorem W.E. Demingem (1900 – 1993). Obr. 2.3: Schématické znázornění Demingova principu neustálého zlepšování. Tento tzv. Demingův přístup (ve zkratce PDCA) je založen na čtyřech stále se opakujících základních krocích, jejichž smyslem je dosažení trvalého zlepšování v řízené oblasti činnosti organizace (původně pouze oblast kvality). Tyto kroky jsou: • Plan (Plánuj): Stanov cíle a procesy nezbytné pro zajištění požadovaného výsledku. 26 • Do (Proveď): Implementuj procesy (tj. proveď, cos naplánoval). • Check (Kontroluj): Monitoruj a měř procesy ve vztahu k politice, cílům a stanoveným požadavkům. Poté vypracuj zprávu o výsledcích (tj. kontroluj, co jsi provedl). • Act (Jednej): Prováděj opatření podle výsledků kontroly, uprav cíle a procesy směrem ke zvyšování výkonnosti a k trvalému zlepšování. Dnes je Demingův přístup základem systému integrovaného managementu a jeho jednotlivých subsystémů uvedeným na obr. 2.3. Z toho také vyplývají podobné struktury některých dílčích manažerských systémů. Úspěch praktického pojetí Demingova přístupu u japonských podniků vedl k tomu, že i další průmyslové společnosti začaly v sedmdesátých letech 20. století obracet pozornost na kvalitu v širokém pojetí a zejména v Americe a Evropě začaly vznikat první modely jejího řízení založené na Demingově principu neustálého zlepšování a celých soustav nástrojů pro jeho uplatnění. Série norem ISO je právě jedním z takových vysoce úspěšných nástrojů, které pomáhají zavést a udržovat různé systémy managementu, jež jsou v dnešní době pro organizace a jejich ekonomický růst klíčové. Tyto normy mají univerzální charakter, což znamená, že nezávisí ani na charakteru procesů, ani na povaze výrobků. Jsou tedy aplikovatelné jak ve výrobních organizacích, tak i ve službách, bez ohledu na velikost organizace. Z výše uvedeného vyplývají podobnosti struktury jednotlivých manažerských systémů, kterými se budeme zabývat v následujících kapitolách. 27 3 Systém managementu jakosti 3.1 Jakost Jakost produkce, resp. organizace jako celku se stává vícerozměrnou veličinou, vznikající součinností mnoha vlivů, jak ukazuje následující schéma: Obr. č. 3.1: Vybrané vlivy determinující jakost organizace jako celku. Z obr. 3.1.vyplývá, že organizace tvoří složitý systém, obsahující řadu subsystémů a dílčích systémů, přičemž cíle těchto jednotlivých struktur jsou mnohdy značně konfliktní. Odděleným řízením jednotlivých subsystémů a dílčích systémů lze dosáhnout pouze lokálních optim v celkovém systému řízení organizace, která jsou často velmi vzdálena od globálního optima, dosažitelného pouze důsledným integrovaným řízením organizace. Proto je zřejmé, že má-li být organizace dlouhodobě úspěšná v současném turbulentním prostředí globálních trhů, je pro ni velice žádoucí učinit první krok k integrovanému systému řízení, který je reprezentovaný vybudováním systému řízení kvality ve shodě s normami ISO řady 9000. Norma ISO 9000:2005 obsahující základy, zásady a slovník systému managementu jakosti definuje jakost jako „stupeň splnění požadavků souborem inherentních znaků“. Požadavkem je zde míněna potřeba nebo očekávání, které jsou stanoveny, obecně se předpokládají nebo jsou závazné. „Obecné předpokládaný" znamená, že se jedná o zvyklost nebo běžnou praxi organizace, jejich zákazníků a jiných zainteresovaných stran a že se uvažovaná potřeba nebo očekávání předpokládají. Management jakosti zahrnuje všechny činnosti vedení organizace/podniku, které stanovují politiku jakosti, cíle a odpovědnosti a realizují je takovými prostředky, jako je plánování, řízení, prokazování a zlepšování jakosti. Management jakosti je odpovědností všech úrovní vedení, ale musí být řízen vrcholovým vedením. Jeho realizace je věcí všech zaměstnanců organizace. Systém managementu jakosti pak obsahuje organizační strukturu, postupy, procesy a zdroje potřebné pro realizaci managementu jakosti, je navrhován především pro uspokojování interních potřeb vedení podniku a je širší než požadavky určitého zákazníka. 28 3.2 Platné předpisy Systémy řízení jakosti (QMS) jsou dobrovolným přístupem organizace, které jí má zajistit lepší postavení na trhu, spolehlivost dodávek, shodu výrobků. Zákonné požadavky pro tuto oblast v české legislativě jsou zastoupeny zákonem č. 22/1997 Sb. ve znění pozdějších předpisů a technickými předpisy pro stanovené výrobky spolu s harmonizovanými normami a také zákonem č. 102/2001 Sb. o obecné bezpečnosti výrobků a o změně některých zákonů, ve znění pozdějších předpisů. Obdobná ustanovení jsou i v legislativě Evropské unie. Pro systémy managementu jakosti se celosvětově používají normy ISO řady 9000. V některých odvětvích se nadále používají specifické normy, např. v automobilovém průmyslu. V České republice jsou normy řady ISO 9000 zavedeny Českým normalizačním institutem (ČSNI) jako národní normy ČSN. Dále je legislativně zakotveno v rámci zavádění QMS podle řady norem ISO 9000 fungování Národního akreditačního orgánu v České republice – Českého institutu pro akreditaci, jež je v rámci akreditačního systému ČR je výkonným orgánem, který zabezpečuje i akreditaci certifikačních orgánů provádějících certifikaci QMS organizací. Akreditace je prováděna na základě mezinárodně uznávaných kritérií a pravidel obsažených v (ČSN) EN řady 45000 týkajících se akreditace. Přehled vybraných platných norem ISO v oblasti řízení jakosti je uveden v Tabulce 3.1, kde je uvedena nejprve norma s ISO/EN s rokem vydání a pak její český ekvivalent rovněž s rokem vydání. Normy souboru ISO 9000 uvedené v Tabulce 3.1 byly vypracovány, aby pomohly organizacím všech typů a velikostí při uplatňování a provozování efektivních QMS. Nejdůležitější z nich jsou: • Norma ISO 9000, která popisuje základní principy systémů managementu kvality a specifikuje terminologii systémů managementu kvality. • Norma ISO 9001, která specifikuje požadavky na systém managementu kvality pro případ, že organizace musí prokázat svoji schopnost poskytovat produkty, které splňují požadavky zákazníka a aplikovatelné požadavky předpisů a že má v úmyslu zvýšit spokojenost zákazníků. • Norma ISO 9004, která poskytuje směrnice, které berou v úvahu jak efektivnost, tak účinnost systémů managementu kvality. Cílem této normy je zlepšování výkonnosti organizace, spokojenosti zákazníků a jiných zainteresovaných stran. • Norma ISO 19011, která poskytuje návod na auditování systému managementu kvality a systému environmentálního managementu. Dohromady tyto normy tvoří koherentní soubor norem na systémy managementu kvality usnadňující vzájemné porozumění ve vnitrostátním a mezinárodním obchodu. Tab. 3.1 - Přehled norem ISO v oblasti řízení jakosti35 . Číslo ISO/EN normy Číslo ČSNI normy Název ISO 9000:2005 ČSN EN ISO 9000:2008 Systémy managementu kvality Základní principy a slovník ISO 9001:2000 ČSN EN ISO 9001:2002 Systémy managementu jakosti – Požadavky ISO 9004:2000 ČSN EN ISO 9004:2002 Systémy managementu jakosti – Směrnice pro zvyšování výkonnosti ISO 19011:2002 ČSN EN ISO Směrnice pro auditování systému 35 http://shop.normy.biz/show.php?categoryID=jakost&PHPSESSID=kHtzNTgHl1LQ4DfB2Hn-DfuC8C3 29 19011:2003 managementu jakosti a/nebo systému environmentálního managementu ISO/IEC 90003:2004 ČSN ISO/IEC 90003:2005 Softwarové inženýrství - Směrnice pro použití ISO 9001:2000 na počítačový software ISO/TS 16949:2002 ČSN ISO/TS 16949:2000 Systémy managementu jakosti - Zvláštní požadavky na používání ISO 9001:2000 v organizacích zajišťujících sériovou výrobu a výrobu náhradních dílů v automobilovém průmyslu ISO 10005:2005 ČSN ISO 10005:2006 Systémy managementu kvality Směrnice pro plány kvality ISO 10006:2003 ČSN ISO 10006:2004 Systémy managementu jakosti Směrnice pro management jakosti projektů ISO 10007:2003 ČSN ISO 10007:2004 Systémy managementu jakosti Směrnice managementu konfigurace ISO 10012:2003 ČSN ISO 10012:2003 Systémy managementu měření Požadavky na procesy měření a měřicí vybavení. ISO/TR 10013:2001 ČSN ISO/TR 10013:2002 Směrnice pro dokumentace systému managementu jakosti ISO/TR 10014:2006 ČSN ISO/TR 10014:2007 Management kvality - Směrnice pro dosahování finančních a ekonomických přínosů ISO 10015:1999 ČSN ISO 10015:2001 Management jakosti - Směrnice pro výcvik EN 60300-1:2003 ČSN EN 60300- 1:2004 Management spolehlivosti - Část 1: Systémy managementu spolehlivosti EN 60300-2:2004 ČSN EN 60300- 2:2005 Management spolehlivosti - Část 2: Směrnice pro management spolehlivosti 3.3 Zavádění systému managementu jakosti Vzhledem ke své větší univerzálnosti a rozšíření je v této kapitole popsán postup zavádění systému managementu jakosti podle norem ISO řady 9000. Jak již bylo uvedeno, tyto normy nejsou závazné, ale pouze doporučené. Pro danou organizaci se však mohou stát závaznými na základě požadavků odběratele. Samotné zavádění QMS postupuje podle diagramu uvedeném na obr. 3.2. K jednotlivým krokům, popsaným v algoritmu na obr. 3.2, lze přiřadit prvky normy ISO 9001:2000. Je třeba věnovat zvláštní péči požadavkům článku 7.3 normy ISO 9001:2000 („Návrh a vývoj“), neboť zahrnutí nebo vyloučení tohoto procesu již nebude zřejmé z názvu a čísla normy použité pro účely certifikace. 30 Obr. 3.2: Postup zavádění QMS. Obr.3.3: Neustálé zlepšování systému managementu jakosti. 31 Veškeré požadavky ISO 9001:2000 jsou svou povahou všeobecné a jsou určeny k uplatnění na všechny organizace. Situace, ve kterých mohou být konkrétní požadavky vyloučeny, jsou jasně definovány v článku 1.2 ISO 9001:2000 („Použití“). Celý postup zavádění je v souladu s Demingovým schématem členěn na přípravnou etapu a další čtyři pravidelně cyklicky se opakující etapy PDCA, uvedená na obr. 3.3. Schéma na obr. 3.3 zobrazuje model managementu jakosti, založeného na procesech, podle normy ISO 9001:2000. Tento model, vycházející z Demingova schématu, je rovněž plně kompatibilní s modelem systému environmentálního managementu podle normy ISO 14001:2004. 3.3.1 Přípravná etapa Přípravná etapa je zařazena pouze při započetí zavádění systému jakosti, při dalším chodu systému jakosti se už neobjevuje. Do této etapy patří následující kroky: • rozhodnutí managementu zavést QMS a výběr vhodného modelu; • analýza současného stavu; • stanovení politiky jakosti. Obr.3.4: Analýza účinků managementu jakosti. V případě, že QMS je již zaveden a přípravná etapa odpadá, spadají případné změny politiky jakosti do hodnotící etapy. Politika jakosti je přezkoumávána a podle potřeby revidována po každém interním auditu. Na následujícím obrázku je znázorněna analýza očekávání ze zavedeného managementu jakosti. V politice jakosti jsou zakotveny celkové záměry a zaměření organizace ve vztahu k jakosti oficiálně vyjádřené vrcholovým vedením. Politika jakosti má být konzistentní a rovnocennou součástí celkové politiky a strategie organizace. V politice jakosti musí být zohledněny skutečnosti jako žádoucí a očekávaný požadavek zákazníka na kvalitu, zlepšování systému, 32 rozvoj zaměstnanců – vzdělávání, zdroje potřebné na zabezpečení systému řízení a řada dalších skutečností. Politika jakosti pomáhá podporovat osobní angažovanost a aktivitu týkající se jakosti v celé organizaci . Platí tři roky. 3.3.2 Plánovací etapa Úkolem plánovací etapy je definovat projekt zavádění systému managementu jakosti. Důležitým krokem této etapy je stanovení konkrétního konceptu postupu s nutnými cíli jakosti, termíny, zodpovědnostmi za jejich provedení apod. Cíle jakosti lze rozdělit takto: • zajistit, aby cíle byly měřitelné; • neustále zlepšovat procesy, produkty i systémy managementu kvality; • plánovat plnění požadavků na kvalitu produktů; • plánovat činnosti pro plnění a dokumentování cílů; • identifikovat přípustná vyloučení; • postarat se o zdroje; • zajistit řízené provádění změn; • určit odpovědnosti za dosažení cílů a cílových hodnot pro funkci a úroveň organizace, prostředky a časový rámec, ve kterém jich má být dosaženo. Programy jakosti by měly mít dynamický charakter a být pravidelně prověřovány, aby postihovaly změny cílů jakosti. 3.3.3 Prováděcí etapa Úkolem prováděcí etapy je dosáhnout stanovených cílových hodnot postupem dle vypracovaného akčního plánu. Mezi nejdůležitější kroky patří: • zabezpečení potřebných kapacit; • přizpůsobení a integrace systému managementu jakosti do celkového systému řízení. Klíčovou zásadou je tzv. procesní přístup, projevující se v tom, že celý QMS chápeme jako systém vzájemně navazujících procesů, přičemž výstup každého procesu musí být vstupem alespoň jednoho dalšího procesu. Smyslem je zbavit se tzv. "procesů bez zákazníka", a tím zvyšovat efektivitu chodu organizace. Procesy musejí být správně identifikovány, analyzovány a řízeny. 3.3.4 Kontrolní etapa Úkolem kontrolní etapy je zavést taková měřící a kontrolní opatření, která zajistí, aby postup zavádění QMS probíhal v souladu se stanoveným programem managementu jakosti a aby oblasti vyžadující nápravnou činnost a opatření byly co nejdříve odhaleny. Mezi nejdůležitější kroky této etapy patří: • monitorování a měření; • zavedení nápravných a preventivních opatření; • záznamy QMS a řízení informací; • provádění auditů QMS; • opatření k nápravě. Interní audity systému managementu jakosti by měly být prováděny v pravidelných intervalech a měly by určovat, zda systém vyhovuje plánovaným krokům a zda je správně zaveden a udržován. Dokumentace QMS se smí týkat všech činností organizace nebo jen jejich vybrané části. Může jít například o specifikované požadavky vyplývající z povahy produktů, procesů, smluvních požadavků, vládních nařízení, nebo z charakteru samotné organizace. Způsob dokumentace QMS by měl vycházet ze schématu na obr. 3.4 a normy ČSN ISO/TR 33 10013:2002. Vedle tří vrstev dokumentace znázorněných na obr. 3.5 existuje ještě čtvrtá vrstva, jež je tvořena záznamy z monitoringu, měření, kalibrace apod. Obr. 3.5: Pyramida dokumentace. 3.3.5 Hodnotící etapa Úkolem hodnotící etapy je prověřit a vyhodnotit zavádění QMS z hlediska zajištění jeho aktuálnosti, vhodnosti a účinnosti. Vedení organizace musí v příslušných intervalech provádět přezkoumání QMS, aby zajistilo jeho neustálou aktuálnost a efektivnost. Přezkoumání systému managementu jakosti by mělo být dostatečně rozsáhlé, aby postihlo vlivy na jakost všech činností organizace, výrobků a služeb, včetně jejich vlivu na finanční výsledky a možné postavení vůči konkurenci. 34 4 Systém environmentálního managementu 4.1 Environmentální management Pojem systém environmentálního managementu (EMS) nebo environmentální manažerský systém je přesně vymezen a standardizován. Podle mezinárodní definice jde o "součást celkového řídícího systému organizace, která využívá organizační strukturu, činnosti, odpovědnosti, praktiky, postupy, procesy a zdroje podniku pro stanovení, realizaci a revizi jeho environmentální politiky". Důležitým znakem EMS je, že si jej kterákoliv organizace, bez rozdílu typu, velikosti a charakteru, může sama vytvořit jako součást svého celkového systému řízení. V podstatě je EMS řada vzájemně koordinovaných činností, jež organizace systematicky a vědomě začleňuje do svého řídícího systému, aby tak mohl plánovitě snižovat svůj negativní dopad na životní prostředí. Jeho zavedení je pro organizace na bázi dobrovolnosti. Zavedení EMS je iterativní kontinuální proces. Vždy po splnění zadaného úkolu se vytýčí úkol nový. Pro konkrétní zavádění EMS v organizaci lze používat různých nástrojů. 4.2 Platné předpisy Pro zavádění systémů environmentálního managementu v organizacích existují dva standardy, které lze v současnosti v ČR použít, a to: • Nařízení Evropského parlamentu a Rady ES č. 761/2001, známé též pod zkratkou EMAS II (z anglického originálu Eco-Management and Audit Scheme). Toto Nařízení je pak závazné jako celek pro vlády všech členských států a je přímo aplikovatelné ve všech členských státech Evropské unie. Vzniklo revizí předchozího Nařízení1836/1993 a jeho součástí je v Příloze norma ISO 14001:1996. Česká republika má podmínky pro zavádění EMS podle EMAS stejné jako ostatní členské státy EU. • Technická norma ČSN EN ISO 14001:2005 “Systémy environmentálního managementu – Specifikace s návodem pro její využití”. Tato norma má celosvětovou působnost a její text byl vypracován v Technické komisi ISO/TC 207 “Environmentální management” ve spolupráci s technickým výborem CEN/CS. Byla přijata v roce 2004 v rámci revize její verze z roku 1996, český překlad vyšel v roce 2005 jako ČSN EN ISO 14001:2005. 4.2.1 Systémy environmentálního managementu podle EMAS ČR svou národní legislativu přizpůsobila legislativě EU tzv. acquis communautaire ve všech oblastech plně včetně programu EMAS. Program EMAS byl v České republice ustanoven na základě usnesení vlády ČR č. 466/1998 o schválení Národního programu zavedení systému řízení podniků a auditu z hlediska ochrany životního prostředí. Na základě tohoto usnesení byly: • zřízeny Rada programu EMAS (dnes Rada pro dobrovolné nástroje) a Agentura EMAS; jakožto odpovědné orgány EMAS; • vydány Národní program EMAS a Pravidla zavedení EMAS; • zřízen akreditační orgán programu EMAS; • vydány metodické pokyny pro akreditaci environmentálních ověřovatelů. V současnosti jsou v souladu s Usnesením vlády ČR č. 651/2002 v platnosti aktualizované verze zmíněných dokumentů36 . Fungování Programu EMAS v ČR zabezpečují subjekty: • Rada pro dobrovolné nástroje37 ;; 36 http://www.cenia.cz/web/www/web-pub2.nsf/$pid/MZPMSFGSEV4B http://www.cenia.cz/__C12571B20041E945.nsf/$pid/MZPMSFHNXUXN 35 • Agentura EMAS; • Český institut pro akreditaci; • Česká inspekce životního prostředí. Obr. 4.1: Organizační zabezpečení programu EMAS. Agentura EMAS, působící v rámci CENIA, České informační agentury životního prostředí, zastává funkci výkonného orgánu Národního programu EMAS, jehož úkolem je zajišťování agendy Rady Programu EMAS v souladu s usneseními vlády ČR č. 466/1998 a č. 651/2002. Agentura EMAS tak zabezpečuje veškeré odborné a manažerské činnosti spojené s Programem EMAS: • poskytuje veřejné informace o EMAS a environmentálním managementu; • registruje organizace s ověřeným EMAS; • spravuje národní Registr EMAS; • spravuje databázi společností s EMAS; • nabízí přehled certifikačních, ověřovacích a konzultačních institucí; • vyvíjí propagační, osvětovou a publikační činnost v rámci Programu EMAS. Ministerstvo průmyslu a obchodu (MPO) zřídilo Akreditační orgán Programu EMAS v oblasti mezinárodní spolupráce a financuje činnost tohoto orgánu z rozpočtové kapitoly MPO s tím, že náklady na tuto činnost budou hrazeny zájemci o akreditaci. Český institut pro akreditaci, o.p.s. (ČIA) vykonává funkci akreditačního orgánu pro Program EMAS, v jehož rámci mu přísluší: • provádět akreditaci a dohled nad environmentálními ověřovateli; • vydávat příslušné metodické pokyny. ČIA poskytuje na základě pověření MPO č. 135/1998 obecně prospěšné služby (akreditace a dozory) podle zákona č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění zákona č. 71/2000 Sb. Zřizovací listina a statut ČIA byly upraveny rozhodnutím ministra průmyslu a 37 http://www.cenia.cz/web/www/web-pub2.nsf/$pid/MZPMSFHNXUXN/$FILE/org_zabezpeceni_emas.pdf 36 obchodu č. 91/1997 ze dne 28.5.1997, ve znění rozhodnutí č. 213/1997 o oblast akreditace ověřovatelů stavu životního prostředí působících v rámci programu EMAS. ČIA vydal v roce 2002 novelizované „Metodické pokyny pro akreditaci Národního akreditačního orgánu ČR MPA 90–01–02: Akreditace ověřovatelů pro oblast životního prostředí“. Tyto metodické pokyny vydal ČIA jako výklad k požadavkům Nařízení Rady ES č. 761/2001 pro akreditaci ověřovatelů v rámci Programu EMAS v českém akreditačním systému. Tento metodický pokyn je určen pro posuzování způsobilosti žadatelů o akreditaci k výkonu funkce ověřovatelů pro oblast životního prostředí (environmentálních ověřovatelů). V ČIA byl rovněž vytvořen metodický pokyn MPA 90 – 02 – 00 pro dohled nad zahraničními environmentálními ověřovateli působícími na území ČR. V roce 2003 vydal ČIA „Změnový list 01/03 k Metodickým pokynům pro akreditaci MPA 90-01-02“ v souvislosti s aktualizací klasifikace NACE (Rev 1.1) a následně i klasifikace OKEČ, která byla zveřejněna Sdělením Českého statistického úřadu č. 464/2002, o aktualizaci Odvětvové klasifikace ekonomických činností (OKEČ). S účinností od 1. dubna 2003 byla nahrazena Příloha 1 Metodických pokynů pro akreditaci přílohou uvedenou v tomto změnovém listu. V roce 2005 vydal ČIA další „Změnový list 01/05 k Metodickým pokynům pro akreditaci MPA 90-01-02“ v souvislosti se sjednocováním a aktualizací výkladu požadavků akreditace environmentálních ověřovatelů v rámci států Evropské unie. S účinností od 1. června 2005 se zrušil MPA 90-02-02 a text MPA 90-01-02 se upravil způsobem popsaným v příloze tohoto změnového listu. Pro zvýšení věrohodnosti systému byla do Programu EMAS zapojena Česká inspekce životního prostředí (ČIŽP), která zde vykonává funkci poradního a konzultačního orgánu. Její stanovisko si příslušné subjekty musí vyžádat v případech, že organizace žádá Agenturu EMAS o zapsání do národního Registru EMAS. Kromě toho informuje ČIŽP Agenturu EMAS o: • porušení právních požadavků týkajících se ochrany životního prostředí registrovanou organizací (na základě těchto informací může Agentura EMAS rozhodnout o dočasném pozastavení registrace takovéto organizace); • tom, že porušení bylo napraveno a organizace učinila opatření s cílem zajistit, aby se neopakovalo. 4.2.2 Systémy environmentálního managementu podle ISO 14001 Legislativní rámec pro zavádění EMS podle norem ISO řady 14000 není stanoven. Normy ISO řady 14 000 představují celosvětově transparentní normativní dokumenty, které slouží jak k zavedení EMS do podnikové praxe, tak pro certifikaci těchto systémů. Jejich faktický počátek se datuje do roku 1996, kdy byly ve strukturách ISO přijaty první verze norem ISO řady 14000. V roce 2004 došlo k jejich revizi, v současnosti platí podoba norem daná touto malou revizí. EMS jsou zaváděny v současné době podle normy ISO 14000:2004, jejíž český ekvivalent je ČSN EN ISO 14000:2005. Přehled současných platných norem ISO pro oblast EMS je uveden v Tabulce 4.1. Tab. 4.2: Přehled norem ISO v oblasti EMS38 . Číslo ISO normy Číslo ČSNI normy Název ISO 14001:2004 ČSN EN ISO 14001:2005 Systémy environmentálního managementu - Požadavky s návodem pro použití ISO 14004:2004 ČSN ISO 14004:2005 Systémy environmentálního managementu - Všeobecná směrnice k zásadám 38 http://shop.normy.biz/show.php?categoryID=0109 37 systémům a podpůrným metodám ISO 14015:2001 ČSN ISO 14015:2003 Environmentální management - Environmentální posuzování míst a organizací (EPMO) ISO 14020:2001 ČSN EN ISO 14020:2002 Environmentální značky a prohlášení - Obecné zásady ISO 14021:1999 ČSN ISO 14021:2000 Environmentální značky a prohlášení - Vlastní environmentální tvrzení (typ II environmentálního značení) ISO 14024:1999 ČSN ISO 14024:2000 Environmentální značky a prohlášení Environmentální značení typu I - Zásady a postupy ISO 14025:2006 ČSN ISO 14025:2006 Environmentální značky a prohlášení - Environmentální prohlášení typu III - Zásady a postupy ISO 14031:1999 ČSN EN ISO 14031:2000 Environmentální management - Hodnocení environmentálního profilu - Směrnice ISO 14040:2006 ČSN EN ISO 14040:2006 Environmentální management - Posuzování životního cyklu - Zásady a osnova ISO 14044:2006 ČSN EN ISO 14044:2006 Environmentální management - Posuzování životního cyklu - Požadavky a směrnice ISO/TR 14047: 2003 ČSN ISO/TR 14047: 2004 Environmentální management - Posuzování životního cyklu - Příklady aplikace ISO 14042 ISO/TS 14048:2002 ČSN P ISO TS 14048:2003 Environmentální management - Posuzování životního cyklu - Formát dokumentace údajů ISO/TR 14049:2000 ČSN ISO/TR 14049:2001 Environmentální management - Posuzování životního cyklu - Příklady aplikace ISO 14041 pro stanovení cíle a rozsahu inventarizační analýzy ISO 14050:2002 ČSN ISO 14050:2004 Environmentální management - Slovník ČSN 01 0962:2002 ČSN 01 0962:2003 Environmentální management - Integrace environmentálních aspektů do návrhu a vývoje produktu ISO 14063:2006 ČSN ISO 14063:2007 Environmentální management - Environmentální komunikace - Směrnice a příklady 38 ISO Guide 64:1997 ČSN 01 0964:1999 Pokyn pro začlenění environmentálních aspektů do norem výrobků ISO 14064-1:2006 ČSN ISO 14064- 1:2006 Skleníkové plyny - Část 1: Specifikace s návodem pro stanovení a vykazování emisí a propadů skleníkových plynů pro organizace ISO 14064-2:2006 ČSN ISO 14064- 2:2006 Skleníkové plyny - Část 2: Specifikace s návodem pro stanovení, monitorování a vykazování snížení emisí nebo zvýšení propadů skleníkových plynů pro projekty ISO 14064-3:2006 ČSN ISO 14064- 3:2006 Skleníkové plyny - Část 3: Specifikace s návodem pro validaci a ověření výroků o skleníkových plynech ISO 14065:2007 ČSN ISO 14065:2008 Skleníkové plyny - Požadavky na orgány validující nebo ověřující skleníkové plyny pro použití v akreditaci nebo jiných formách uznávání ISO 19011:2002 ČSN EN ISO 19011:2003 Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu Nejdůležitější normy uvedené v Tab. 4.1 jsou: • Norma ISO 14001, která je analogická s normou ISO 9001, neboť představuje kriteriální normu, podle níž se provádí vlastní certifikace zavedená a provozovaná EMS. • Norma ISO 14004, která představuje metodickou pomůcku pro zavádění EMS do podnikové praxe. • Norma ISO 19011, která poskytuje návod na auditování systému managementu kvality a systému environmentálního managementu. Dohromady tyto normy tvoří koherentní soubor norem EMS usnadňující vzájemné porozumění v ochraně životního prostředí. Všechny normy uvedené v Tabulce 4.1 jsou součástí technické normalizace v souladu se zákonem 22/1997 Sb. a jako takové jsou pouze doporučené. V rámci zavádění EMS podle norem ISO řady 14000 je legislativně zakotveno pouze fungování Národního akreditačního orgánu v České republice – Českého institutu pro akreditaci stejně jako u QMS. Akreditace je prováděna na základě mezinárodně uznávaných kritérií a pravidel obsažených v (ČSN) EN řady 45000 týkajících se akreditace, velké Nařízení Evropského parlamentu a Rady ES č. 761/2001 (EMAS), na základě příslušných metodických pokynů pro akreditaci (MPA) a dokumentů EA (Evropského sdružení pro akreditaci), které ČIA s ohledem na obecnou povahu norem řady ČSN EN 45000 vydává. 4.2.3 Srovnání obou systémů Z praktického hlediska organizací rozhodujících se mezi zavedením EMS podle norem ISO a programem EMAS jsou významné především dva rozdíly: • v EMAS se požaduje vypracování úvodního environmentálního přezkoumání a závěrečného environmentálního prohlášení; 39 • v ISO 14001 se vypracování úvodního environmentálního přezkoumání pouze doporučuje (není povinné) a o environmentálním prohlášení se norma vůbec nezmiňuje. V tab. 4.2 je uvedeno srovnání obou systémů. Tab. 4.2: Významné rozdíly v požadavcích normy ISO 14001 a EMAS. Rozsah ISO 14001 EMAS Působnost celosvětová členské země EU Platnost všechny typy organizací (průmysl, služby, státní správa...) EMAS I průmyslové podniky; v EMAS II stejné možnosti jako u ISO 14001 Zavedení v ekonomicky samostatně oddělené části organizace nebo v celé organizaci v ekonomicky samostatně oddělené části organizace nebo v celé organizaci Úvodní environmnent.. přezkoumání (zhodnocení) nevyžaduje se, ale doporučuje je vyžadováno Systém řízení specifikován v normě v kap.4 využívá systému, specifikovaného v normě ISO 14 001 v kap. 4 Veřejné dokumenty pouze environmentální politika environmentální politika a environmentální prohlášení Environmentální prohlášení není je vyžadováno Zakončení procesu certifikace ověření (verifikace) systému a environmentálního prohlášení, validace dílčích prohlášení mezi externími audity Zajištění zakončení procesu akreditovaná certifikační organizace akreditovaný environmentální ověřovatel Četnost auditu (cyklu auditů) nestanovena nejdéle tříletý interval V českých podmínkách je zatím přístup státu k oběma standardům stejný, stát při zvažování finanční podpory, zjednodušení kontroly či šíření informací žádný z přístupů nezvýhodňuje – což mimochodem jistě je k prospěchu rozvoje EMS. 4.3 Zavádění systému environmentálního managementu Podstatou zavádění EMS v organizaci je postupné zavádění environmentálních hledisek do jejího řídícího systému na všech jeho úrovních. Oba používané systémy EMS, tj. ISO 14001 a EMAS mají po revizi EMAS shodné nároky na vlastní systém řízení. Při zavádění EMS se organizace musí řídit následujícími zásadami: • Zavázat se k realizaci EMS a definovat svou environmentální politiku. • Formulovat plán plnění stanovené environmentální politiky. • Zavést mechanismy potřebné pro realizaci environmentální politiky. • Měřit, monitorovat a vyhodnocovat své chování k životnímu prostředí, čili sledovat změny svého environmentálního profilu (výkonu). 40 • Prověřovat svůj systém environmentálního managementu za účelem jeho neustálého zlepšování. V souladu s těmito uvedenými zásadami lze realizaci EMS v organizaci rozložit do pěti etap, přičemž první, tzv. zahajovací, popř. přípravná, etapa má zvláštní postavení, neboť se vyskytuje pouze na počátku, když se organizace rozhodne, že bude EMS zavádět. Ostatní čtyři etapy, které můžeme pro lepší přehled označit jako: plánovací, prováděcí, kontrolní a hodnotící, tvoří cyklický po spirále se stále opakující proces. Realizace každé z vyjmenovaných etap se opět skládá z řady dílčích kroků, které na sebe různě navazují. Přezkoumání vedením Environmentální politika Plánování • Environmentální aspekty • Legislativní a jiné požadavky • Environmentální cíle, cílové hodnoty • Environmentální programy Zavádění a provoz • Struktura a odpovědnosti • Školení a uvědomění • Komunikace • Dokumentace EMS • Řízení dokumentace • Operativní řízení • Prevence havarijních stavů Kontrola a nápravná opatření • Kontrola a měření (monitoring) • Aktivita pro zajištění shody, nápravná a preventivní opatření • Záznamy • Audity EMS Obr. 4.2: Spirála EMS. 4.3.1 Přípravná etapa Tato etapa je zařazena pouze při zavádění systému, při dalším chodu systému už se neobjevuje. Do přípravné etapy se řadí: • rozhodnutí zavést EMS; • úvodní environmentální přezkoumání; • stanovení environmentální politiky. Doporučuje se ustanovit zodpovědného člena vrcholového vedení, tzv. zmocněnce pro EMS. V rámci úvodního environmentálního přezkoumání se dále stanoví „startovní čára“, základní environmentální profil, vůči kterému je pak možné měřit jeho zlepšení. Důležitým základním dokumentem ukazujícím vůli vedení organizace zlepšovat její environmentální profil a cestu jak toho dosáhnout je environmentální politika organizace. V případě, že EMS je již zaveden, tak přípravná etapa odpadá a případné změny environmentální politiky spadají do hodnotící etapy (environmentální politika je přezkoumávána a podle potřeby revidována po každém interním auditu/auditovém cyklu). 4.3.2 Plánovací etapa Úkolem plánovací etapy je na základě environmentální politiky vybrat a naplánovat řešení určitých environmentálních cílů, jenž jsou charakterizovány stanovenými cílovými hodnotami. Mezi důležité kroky této etapy patří: 41 • zjišťování environmentálních aspektů a vyhodnocování jejich environmentálních dopadů; • stanovení environmentálních cílů a cílových hodnot; • vypracování environmentálních programů, tzv.akčního plánu. Organizace má určit, jaké jsou její environmentální aspekty v rámci jejího EMS z pohledu vstupů a výstupů (ať zamýšlených nebo nezamýšlených) spojených s její minulou nebo současnou činností, výrobky a službami, plánovanými nebo novými projekty, novými či upravenými činnostmi, výrobky a službami. Tento proces má zahrnovat běžné provozní podmínky, abnormální provozní podmínky, spouštění a zastavování provozu a rovněž logicky předvídatelné situace havarijního ohrožení. Programy environmentálního managementu napomáhají organizaci zlepšit její environmentální profil. Měly by mít dynamický charakter a být pravidelně prověřovány, aby postihovaly změny environmentálních cílů a cílových hodnot organizace. Musí mít také přiděleny zdroje pro realizaci EMS, jak finanční tak lidské, termíny (harmonogram) a indikátory plnění environmentálních cílů. Cíle a cílové hodnoty se určují podle výsledků vyhodnocování významných aspektů a dopadů a jejich naplňováním dochází ke zlepšování environmentálního profilu organizace. 4.3.3 Prováděcí etapa Úkolem prováděcí etapy je dosáhnout stanovených cílových hodnot postupem dle vypracovaného akčního plánu. Mezi nejdůležitější kroky patří: • zabezpečení potřebných kapacit; • přizpůsobení a integrace EMS do celkového řídícího systému organizace; • stanovení odpovědností a pravomocí; • informování a školení pracovníků, zvyšování environmentálního povědomí; • zajištění komunikace uvnitř organizace a vůči zainteresovaným stranám; • dokumentace EMS, • řízení provozu (operativní řízení); • příprava na mimořádné okolnosti. Obr. 4.3: Schéma dokumentace EMS. 42 4.3.4 Kontrolní etapa Úkolem kontrolní etapy je zavést taková měřící a kontrolní opatření, která zajistí, aby EMS fungoval v souladu se stanoveným programem environmentálního managementu a aby oblasti vyžadující nápravnou činnost a opatření byly co nejdříve odhaleny. Mezi nejdůležitější kroky této etapy patří: • monitorování a měření; • zavedení nápravných a preventivních opatření; • záznamy EMS a řízení informací; • provádění auditů EMS. Kromě monitorování jednotlivých dopadů na životní prostředí se monitoruje také celkové environmentální chování organizace (v rámci plánování, obchodní činnosti, marketingu atd.). Zjištěné neshody musí být co nejdříve napraveny. O výsledcích monitoringu musí být vedeny záznamy, které jsou součástí dokumentace EMS. Audity zmíněné v této etapě jsou audity interní, sloužící zejména jako podklad pro činnost v hodnotící etapě. 4.3.5 Hodnotící etapa Úkolem hodnotící etapy je prověřit a vyhodnotit chod EMS z hlediska zajištění jeho aktuálnosti, vhodnosti a účinnosti. Vedení organizace musí v příslušných intervalech provádět přezkoumání EMS, aby zajistilo jeho neustálou aktuálnost a efektivnost. Přezkoumání EMS by mělo být dostatečně rozsáhlé, aby postihlo environmentální rozměry všech činností organizace, výrobků a služeb, včetně jejich vlivu na finanční výsledky a možné postavení vůči konkurenci. Při pohledu na obr. 4.2 vidíme, že po splnění všech pěti etap začíná další kolo, s vynecháním přípravné etapy a teoreticky s vyšším environmentálním výkonem (lepším environmentálním profilem) organizace. Pro hodnocení environmentálního profilu a jeho změn může být s úspěchem využito indikátorů stanovených podle normy ISO 14031. Při prvním průchodu cyklu je vhodné uzavřít zavádění systému jeho nezávislým posouzením. Hlavním důvodem potřeby nezávislého hodnocení je prokazatelnost environmentálního chování organizace vůči zainteresovaným stranám, v tomto případě zejména zákazníkům v obchodním styku. Pokud tato potřeba nenastává, organizace může zavést EMS výhradně z vnitřních důvodů a pak nezávislé hodnocení je nadbytečné jak z časového tak finančního hlediska. Způsob posouzení EMS se bude lišit podle použitého standardu. U EMS zavedeného podle ISO 14001 bude pro hodnocení proveden externí certifikační audit nezávislou akreditovanou certifikační organizací a poté vydán certifikát, stvrzující, že systém je zaveden v souladu s požadavky normy a funkční. Při zavádění EMS podle EMAS bude hodnocení složitější, po externím auditu na úrovni certifikačního bude připraveno tzv. ověřitelné environmentální prohlášení, které pak ověřuje akreditovaný environmentální ověřovatel. Struktura ověřitelného prohlášení je dána přímo v příloze EMAS. Obojí hodnocení má časově omezenou platnost a musí být pravidelně obnovováno. 43 5 Systém managementu bezpečnosti a ochrany zdraví při práci 5.1 Bezpečnost a ochrana zdraví při práci Devadesátá léta minulého století nebyla jen obdobím, kdy došlo k masivnímu aplikování QMS, v jejich druhé polovině byly připraveny postupy pro aplikaci přístupů EMS i managementu bezpečnosti a ochrany zdraví při práci. Přijetí a systematické zavedení souboru účinných opatření na úseku bezpečnosti a ochrany zdraví při práci (BOZP) může být ku prospěchu všech zainteresovaných stran. Organizace všech druhů a velikostí si osvojují systematický přístup k řízení BOZP a k rozvíjení systémů managementu BOZP (SMBOZP) v kontextu: • všeobecného růstu zájmu všech zainteresovaných stran o otázky BOZP; • změn právních předpisů; • dalších opatření k podpoře trvalého zlepšování BOZP. Organizace zavádějí SMBOZP z mnoha důvodů, včetně právních pohnutek, etických ohledů, pracovně-právních vztahů a ekonomických aspektů. Zavedení SMBOZP vede především k omezení nemocí z povolání a pracovních úrazů, při minimalizaci nákladů spojených s nehodami na pracovišti. SMBOZP rovněž slouží některým organizacím k tomu, aby interně a v některých případech i navenek prokazovaly, že systematicky omezují rizika, resp. nebezpečí, která ohrožují bezpečnost a zdraví všech osob ovlivňovaných činnostmi, výrobky nebo službami organizace. Norma OHSAS 18001:1999 pro BOZP a její český ekvivalent ČSN OHSAS 18001:2008 jsou navrženy tak, aby byly použitelné pro všechny organizace. ČSN OHSAS 18001:2008 doplňuje normy ČSN EN ISO 9000:2001 a ČSN EN ISO 14000:2005 tak, aby bylo možno vytvořit integrovaný systém managementu organizace. Norma ČSN OHSAS 18001:2008 se od struktury norem ČSN ISO 9000:2001 a ČSN EN ISO 14000:2005 odlišuje v oblastech, které se týkají omezování rizik. Jde o třífázovou proceduru zahrnující: • identifikaci nebezpečí; • omezení rizika; • hodnocení rizika. Legislativa i tato norma zdůrazňují požadavky, na zavedení opatření, které všude, kde je to možné, omezí, odstraní nebo zaměstnance od nebezpečí izolují. V případech, kde to možné není, musí být pracovní činnost plánována a řízena pomocí organizačních opatření tak, aby její výkon byl bezpečný a neohrožoval zdraví. Definice v normě BOZP říká, že „systém managementu bezpečnosti a ochrany zdraví při práci (SMBOZP) je ta část celkového systému managementu, která zahrnuje organizační strukturu, plánovací činnost, povinnosti, praktiky, postupy, procesy a zdroje pro vývoj, zavedení, naplňování, přezkoumávání a udržování politiky BOZP a tím přispívá k omezení rizik, která jsou spojena s činností organizace“. 5.2 Platné předpisy Zvyšující se komplexnost a složitost pracovních procesů, změny v podmínkách práce spolu se změnami charakteru a závažnosti rizik vyplývajících z pracovních činností vyžadují přehledný, systematicky a systémový přístup k zajištění bezpečnosti a ochrany zdraví při práci. Vývoj legislativy v oblasti prevence havárií, managementu chemických látek a také bezpečnosti a ochrany zdraví při práci jak v mezinárodním tak českém kontextu klade stále vyšší nároky na organizace. Vyvstává potřeba účelného řešení, které by účinně integrovalo 44 hodnocení a management rizik do všech aktivit a činností organizace, jejich organizačních struktur i systému řízení. Současná česká legislativa se stále více přibližuje úrovni legislativy Evropské Unie i v oblasti bezpečnosti a ochrany zdraví při práci, jak bylo uvedeno v 2. kapitole. Výčet základních legislativních předpisů platných v ČR je možno začít u nejvyšších právních předpisů, jako je Ústava a Základní listina práv a svobod. Velká část, týkající se zdraví při práci, je řešena v zákonu č. 262/2006 Sb., zákoník práce a navazujících předpisech, kde lze nalézt rovněž mezi povinnosti týkajícími se BOZP např. o následující: • vedení dokumentace o identifikaci nebezpečí a posouzení rizik; • pravidelné provádění školení z BOZP; • přijímání opatření ke zmírnění negativních důsledků nehod a pracovních úrazů a preventivních opatření k zamezení jejich opětovnému vzniku; • vyšetřování příčin a okolností vzniku pracovních úrazů; • účast zaměstnanců na řešení otázek v oblasti BOZ , atd. Dalším právním předpisem je zákon č. 258/2000 Sb., o veřejném zdraví ve znění pozdějších předpisů. Nároky na technickou bezpečnost jsou kromě Zákoníku práce také upraveny zákonem č. 22/1997 Sb., o technických požadavcích na výrobky ve znění pozdějších předpisů, který mimo jiné stanovuje, které ČSN obsahují závazná ustanovení. Spolu se zákonem o technických požadavcích platí také řada harmonizovaných technických norem, obsahujících závazná ustanovení. Velmi důležitým předpisem je rovněž zákon č. 102/2001 Sb. o obecné bezpečnosti výrobků. Dalším důležitým předpisem je zákon č. 353/1999 Sb., o prevenci závažných havárií. Mnoho chemických výrob nebo zařízení pracujících s toxickými a nebezpečnými látkami je v ČR situováno v blízkosti rezidenčních oblastí. Důsledky havárií pro pracovníky přímo na postižených pracovištích mají obvykle formu hromadného pracovního úrazu. Zavedení systémového přístupu k hodnocení a managementu rizik se stává nezbytností. Na tuto potřebu reagovala řada národních i mezinárodních orgánů a organizací tvorbou normativních materiálů pro zavádění BOZP. Po neúspěšných jednáních o přípravě mezinárodního standardu v rámci ISO a CEN bylo těžiště prací na certifikovatelných předpisech přeneseno na národní úroveň, kde vznikly národní standardy a předpisy pro zavedení a kontrolu (audit) SMBOZP. Příkladem může být postup British Standardisation Institute (BSI), který vydal v sérii Occupational Health and Safety Assessment Series dva předpisy OHSAS 18001:1999 „Occupational Health and Safety Management Systems – Specification“ a 18002:2000 „Occupational Health and Safety Management Systems – Guidelines for implementation of OHSAS 18 001“. V druhé polovině roku 2007 byla vydána norma BS OHSAS 18001:2007, která novelizuje specifikaci OHSAS 18001:1999. V březnu 2008 byl následně vydán český překlad této normy ve formě ČSN OHSAS 18001:2008 „Systémy managementu bezpečnosti a ochrany zdraví při práci – Požadavky“. Novelizace OHSAS 18002:2000 se v současné době připravuje a předpokládá se rovněž vydání jejího překladu formou ČSN v roce 2009. Přechodné období pro zavedení systému managementu BOZP podle požadavků normy OHSAS 18001:2007 bylo stanoveno do 1.7. 2009, kdy končí platnost specifikace OHSAS 18001:1999. Do této doby by tedy měly organizace implementovat nově stanovené požadavky na systém managementu BOZP, pokud chtějí obhájit jeho certifikaci. V České republice je na podobném principu založen národní program „Bezpečný podnik“ Program byl vyhlášen v roce 1996 ministrem práce a sociálních věcí a garantem programu byl stanoven Český úřad bezpečnosti práce v Praze a je vhodný k uplatnění ve středních a velkých organizacích nad 100 zaměstnanců. Od 1. 7. 2005 je garantem programu Státní úřad inspekce 45 práce v Opavě. Tento program v současné době vychází z požadavků harmonizovaných norem a nadnárodních dokumentů, kterými jsou zejména: • požadavky příručky ILO - OSH 2001; • zásady QMS podle normy ČSN EN ISO 9001:2002; • zásady EMS podle ČSN EN ISO 14001:2005; • požadavky ČSN OHSAS 18001:2008. Program "Bezpečný podnik" je založen na specifických přístupech uplatňovaných základními prvky systému řízení BOZP a základními principy a umožňuje bezpečnostnímu managementu zásadní kvalitativní změnu nebo účelnou úpravu systému řízení organizace směrem k efektivnímu fungování, organizace zapojené do programu dosáhnou nesporných přínosů charakteristických pro moderně řízený podnik. Jádrem programu jsou kontrolní otázky auditu, které jsou předmětem vlastního auditu organizace a zpráva o výsledku auditu. Pokud organizace dodrží stanovený postup a splní požadavky programu, které jsou uvedeny v příručce vydané ČÚBP: "BEZPEČNÝ PODNIK – Systém řízení bezpečnosti a ochrany zdraví při práci, Praha 200539 , a bude postupovat podle obecně stanoveného postupu, bude jí osvědčení předáno ministrem práce a sociálních věcí. Osvědčení bývají zpravidla předávána vždy v měsících dubnu a říjnu každého roku. Kromě uvedených norem a předpisů, které cíleně navazují na ISO normy pro QMS a EMS, existuje ještě řada interních postupů, např. uplatňovaných pojišťovnami při ověřování průmyslových rizik při určování pojistné částky. Příkladem může být třeba metodika pojišťovny Lloyd nebo Zurich. Např. pojišťovna Zurich v rámci programu Rizikového inženýrství má vypracován přehledný dotazník, kterým zjistí stav řízení rizik potencionálního klienta. 5.3 Zavádění managementu bezpečnosti a ochrany zdraví při práci Jak vyplývá z předchozího textu, oblast systémového přístupu k BOZP je poměrně nová a zatím nedostatečně rozvinutá. Postup zavádění SMBOZP vychází z dosud známých norem a využívá obdobné struktury jako systém v ISO 14001. Postup je určen organizacím jakékoli velikosti, které chtějí vyvinout nebo zavést SMBOZP anebo zlepšit dosavadní systém tak, aby byl vhodný pro danou organizaci, mohl být integrován s ostatními systémy a základními funkcemi organizace, zlepšil celkový výkon organizace a přispěl organizaci k plnění jejích zákonných povinností v BOZP. Jde zpravidla o třístupňový proces zahrnující identifikaci nebezpečí, hodnocení rizika a omezení rizika. Systém řízení BOZP tvoří politika, řízení organizace, řízení plánování a realizace, hodnocení a akce směřující ke zlepšení řízení. Oblast politiky řízení zahrnuje prvky politiky BOZP a účasti pracovníků a je základem systému řízení BOZP v organizacích, protože udává směr, kterým se mají ubírat. Oblast managementu BOZP zahrnuje odpovědnost, kompetence, odborný výcvik a dokumentaci. Oblast plánování a provádění zahrnuje počáteční posouzení rizik, vypracování a provádění plánů BOZP a prevenci rizik. Pomocí počátečního posouzení organizace zjistí, jak na tom je z hlediska BOZP, a výsledky tohoto posouzení jsou pak základem pro provádění politiky BOZP. A konečně oblast vyhodnocení představuje monitorování výkonu a měření, vyšetřování pracovních úrazů, nemocnosti pracovníků, nemocí z povolání, nehod a dále audit a kontrolu systému řízení. 39 http://www.suip.cz/default/drvisapi.dll?MIval=/www/rubrika.html&v_prb_id=9&v_id_name=doc1&v_wdt=1 46 Tyto postupy ukáží, jak systém řízení BOZP funguje, a jak jejich prostřednictvím je možné identifikovat jeho případné slabiny. Kontrolu je třeba provádět ve všech stadiích a mají ji provádět vždy osoby, které jsou nezávislé na kontrolované činnosti, nemusí to však být nutně auditor třetí strany. Obr.5.1: Spirála BOZP. V závěrečné etapě se provádějí preventivní a nápravné zásahy v oblastech zjištěných při hodnocení a kontrolách. Směrnice ILO apelují na potřebu trvalého zlepšování výkonu systému BOZP cestou neustálého rozvíjení řídících činností, dílčích systémů a technik směřujících k prevenci pracovních úrazů, onemocnění, nemocí z povolání a nehod. 5.3.1 Přípravná etapa Tato etapa je zařazena pouze při zavádění systému, při dalším chodu systému už se neobjevuje. Do přípravné etapy se řadí: • rozhodnutí zavést systém managementu BOZP; • úvodní přezkoumání; • stanovení politiky BOZP. Každá organizace zjistí, že některé prvky systému managementu BOZP již uplatňuje. Méně běžné bývá sloučení těchto prvků do koordinovaného komplexního systému, který zvyšuje úroveň BOZP. Když je politika BOZP formulována až po vstupním přezkoumání, může být stanovena konkrétně, včetně časových měřítek. V případě, že SMBOZP je již zaveden a přípravná etapa odpadá, spadají případné změny politiky BOZP do hodnotící etapy. 5.3.2 Plánovací etapa K úspěšnému zavedení a fungování SMBOZP je nutný účinný plánovací proces s dokonale definovanými a měřitelnými výstupy. Výsledky úvodního přezkoumání tvoří rámec plánování pro zavedení SMBOZP v organizaci. Na jejich základě jsou stanoveny cíle, úkoly a ukazatelé Přezkoumání vedením Politika BOZP BOZPb č ti Plánování Zavádění a provoz Kontrola a nápravná opatření 47 úrovně BOZP a vypracovány plány, jak dosáhnout jejich splnění. Mezi důležité kroky této etapy patří: • stanovení cílů a cílových hodnot; • vypracování plánu BOZP, tj. programů pro řešení jednotlivých cílů. 5.3.3 Prováděcí etapa Úkolem prováděcí etapy je dosáhnout stanovených cílových hodnot postupem dle vypracovaného akčního plánu. Mezi nejdůležitější kroky patří: • zabezpečení potřebných kapacit; • vymezení činností významných pro BOZP; • management rizik; • informování a školení pracovníků; • zajištění komunikace; • dokumentace SMBOZP; • příprava na mimořádné okolnosti. 5.3.4 Kontrolní etapa Úkolem kontrolní etapy je zavést taková měřící a kontrolní opatření, která zajistí, aby postup zavádění BOZP probíhal v souladu se stanoveným programem SMBOZP a aby oblasti vyžadující nápravnou činnost a opatření byly co nejdříve odhaleny. Mezi nejdůležitější kroky této etapy patří: • monitorování a měření; • zavedení nápravných a preventivních opatření; • záznamy SMBOZP a řízení informací; • provádění auditů SMBOZP. Audity SMBOZP musejí být prováděny v pravidelných intervalech a mají určovat, zda systém vyhovuje plánovaným krokům a zda je správně zaveden a udržován. Audity SMBOZP mohou provádět zaměstnanci organizace, případně externí subjekty vybrané organizací nebo určené zákonem (např. u vyhrazených zařízení pracovníci ITI). Požadavky na auditory zatím nejsou stanoveny, lze očekávat, že se objeví v souvislosti s novými ČSN OHSAS 18001:2008. Je zapotřebí, aby audit byl prováděn objektivně a o všech jeho výsledcích bylo informováno vrcholové vedení podniku. Četnost auditů bude vycházet jednak ze zákonných lhůt (technická zařízení, hygiena práce), jednak z potřeby vedení získat podklady pro další rozhodování. 5.3.5 Hodnotící etapa Výkonné vedení organizace ve vhodných intervalech provádí přezkoumání SMBOZP, aby zajistilo jeho trvalou přiměřenost a účinnost při naplňování politiky a cílů organizace na úseku BOZP. Přezkoumání SMBOZP se provádí v dosti širokém rozsahu tak, aby zahrnovalo otázky BOZP, které souvisejí se všemi činnostmi, výrobky nebo službami organizace, včetně jejich vlivu na výkonnost organizace. Přezkoumání SMBOZP zahrnuje: • vyhodnocení vhodnosti politiky BOZP; • přezkoumání cílů a úkolů na úseku BOZP a ukazatelů úrovně BOZP; • nálezy z auditů SMBOZP; • vyhodnocení efektivnosti SMBOZP a potřeby jeho změn. Při přezkoumání může dojít i ke změně původně stanovené politiky BOZP. Nejčastějším důvodem takové změny jsou neočekávané změny vnitřních nebo vnějších poměrů v organizaci (také legislativních). 48 6 Systémy managementu služeb informačních technologií 6.1 Informační služby Systém managementu služeb IT (Information Technology Service Management - ITSM) musí být zaveden tak, aby byl transparentní s definovanými metrikami pro každou službu, a tudíž i efektivní pro zákazníky. Hlavním kritériem strategie systému managementu služeb IT je nabídnout zákazníkům takové portfolio služeb IT, které uspokojí i ty nejnáročnější zákazníky a povede k podpoře jejich podnikatelských procesů. Toho se dosáhne uzavíráním oboustranně výhodných smluv, které budou zároveň motivovat i management zákazníků k vytváření podmínek pro kvalitní aplikaci nabízených služeb a rozšiřování nabídky o nové služby. Velký důraz je nutno klást na řízení a kvalitní fungování „service desku“40 a procesů managementu změn a informační bezpečnosti. Tyto základní procesy managementu služeb IT se považují v současné době, za nejdůležitější pro dosahování vysoké úrovně služeb IT, kde s informacemi zákazníkům a s jejich a know-how, v jakékoli podobě, je zacházeno na základě vzájemné důvěry a podle předem definovaných standardů. 6.2 Platné předpisy V průběhu minulých let se objevila řada doporučených předpisů (rámců), z nichž každý má své vlastní silné a slabé stránky, ale také každý má vlastní zaměření a účel. Některé z nich tvoří ISO normy (nebo jsou dokumentovány podle ISO norem), ale ne všechny z nich. V současné době jsou v oblasti služeb IT nejvýznamnější předpisy: • norma ISO 20000 - se zaměřením na management IT služeb; • knihovna ITIL- podrobně popsaná v kapitole 1; • norma ISO 1779941 / ISO 27001 - se zaměřením na informační bezpečnost; • rámec Six Sigma42 - s důrazem na provozní výkonnost a závady identifikace; • rámec COBIT43 - pro řízení rizik IT informací; • rámec Balanced Scorecard44 - pro měření činnosti organizace, pokud jde o její vize a strategie. Metoda Balanced Scorecard, který je známá také jako BSC, byla vytvořena v roce 1987 na Analog Devices,; • metoda Prince245 - metoda řízení projektu. Podrobný přehled standardizace bezpečnosti informačních technologií a mezinárodních a národních organizací a firem je uveden na webu Fakulty informatiky MU46 . 6.3 Zavádění systému managementu služeb IT ITMS se zavádí dle norem ISO/IEC 20000:2005 (ČSN ISO/IEC 20000-1:2006 a ČSN ISO/IEC 20000-2:2007), které stanovují požadavky, které jsou kladeny na poskytovatele služeb v oblasti informační technologií. ITSM se zaměřuje se na zlepšování kvality, 40 skupina pracovníků organizace podpory pro první kontakt se zákazníkem, která provádí vysoký podíl celkových podpůrných prací. 41 http://itgovernance.politicalinformation.com/17799.htm 42 http://itgovernance.politicalinformation.com/sigma.htm 43 http://itgovernance.politicalinformation.com/cob.htm 44 http://itgovernance.politicalinformation.com/bsc.htm 45 http://itgovernance.politicalinformation.com/prince2.htm 46 http://www.fi.muni.cz/usr/staudek/vystavelova/index.html#obsah 49 zvyšování efektivity a snížení nákladů u IT procesů. Popisuje integrovanou sadu procesů řízení pro poskytování služeb IT. Organizace vytvoří a zavede politiku poskytování služeb IT a stanoví takové cíle, které zahrnou požadavky právních předpisů a jiné požadavky, které se na ní v oblasti služeb informačních technologií vztahují. Demingova metodika u ITSM je podrobně popsána v obou normách ISO 20000-1 a ISO 20000-2 a shoduje se s metodikou QMS. Obr. 6.1: Demingův model Plánuj-Dělej-Kontroluj-Jednej pro jednotlivé procesy ITSM. 6.3.1 Plánování managementu služeb Management služeb IT v organizaci musí být plánovaný. Plány musí přinejmenším stanovovat: • rozsah managementu služeb IT v rámci organizace; • cíle a požadavky, kterých má být kontrolou služeb IT dosaženo; • procesy, které mají být prováděny; • rámec pro kontrolní role a odpovědnosti, včetně majitele procesů a kontrolou třetích stran; • rozhraní mezi procesy management služeb a způsoby, jakými jsou procesy koordinovány; • přijatý přístup k identifikaci, hodnocení a kontrolu problémů a rizik k dosažení stanovovaných cílů; • přístup k tvorbě rozhraní mezi projekty, které vytvářejí nebo pozměňují služby IT; • zdroje, zařízení a rozpočet nezbytný pro dosažení stanovovaných cílů; • nástroje vhodné k podpoře procesů; • jak bude řízena, auditována a zlepšována kvalita služeb. V organizaci musí být stanoveno směřování jejího vedení a dokumentované odpovědnosti pro přezkoumání, autorizaci, komunikaci, implementaci a udržování plánů. Jakékoliv vytvořené specifické plány procesů IT musí být slučitelné s tímto plánem management služeb. 50 6.3.2 Implementace managementu služeb a poskytování služeb Organizace musí implementovat plán managementu služeb IT pro kontrolu a dodání služeb IT, včetně: • přidělení zdrojů a rozpočtů; • přidělení rolí a odpovědností; • dokumentování a udržování postupů, plánů, postupů a stanovisek pro každý proces nebo sadu procesů; • identifikace a kontrolu rizik pro poskytování služeb IT; • kontrolu týmů, např. přijímání a rozvoj vhodného personálu a kontrolu kontinuity personálu; • sledování a udržování stavu zařízení a rozpočtu; • řízení týmů včetně service desku a provozu; • podávání zpráv o skutečném postupu ve vztahu k plánům; • koordinace procesů managementu služeb IT. 6.3.3 Monitorování, měření a přezkoumání Organizace musí uplatnit vhodné metody pro monitorování ITSM a tam, kde je to použitelné, také pro měření procesů managementu služeb IT. Tyto metody museji prokázat schopnost procesů dosáhnout plánované výsledky. Vedení organizace musí provádět přezkoumání v plánovaných intervalech, aby mohlo stanovit, zda požadavky na management služeb IT: • odpovídají plánu managementu služeb a požadavkům této normy; • jsou efektivně implementované a udržované. Program auditu musí být plánovaný a musí brát v úvahu stav a důležitost procesů a oblastí, které mají být auditované, a rovněž výsledky předcházejících auditů. Kritéria auditu, rozsah, četnost a metody musí být stanovované předem. Výběr auditorů a vedení auditů musí zajistit objektivitu a nestrannost auditního procesu. Auditoři nesmějí provádět audit své vlastní práce. Cíle přezkoumání, hodnocení a audity managementu služeb IT musejí být zaznamenány společně s nálezy z těchto auditů a přezkoumání a jakákoliv opatření k nápravě musí být identifikována. Všechny významné oblasti neshod nebo problémů musí být komunikovány s příslušnými stranami. 6.3.4 Neustálé zlepšování Musí být zveřejněna politika zlepšování služeb IT. Jakékoliv neshody s normou nebo plány managementu služeb musí být vypořádány. Role a odpovědnosti u činnosti prováděných pro zlepšování služeb IT musí být jasně stanovované. Všechna doporučení pro zlepšení služeb IT musí být ohodnocena, zaznamenána, přidělena jim priorita a musí být schválena. Plán zlepšování služeb musí být využit pro řízení činnosti. Organizace musí mít zaveden proces pro trvalé identifikování, měření, vykazování, sledování a udržování zlepšování činností. To musí zahrnovat: • zlepšování individuálních procesů, které mohou být implementované vlastníkem procesu s obvyklými lidskými zdroji, např. provádění jednotlivých nápravných a preventivních opatření; • zlepšování napříč organizací nebo více procesy. Organizace musí v tomto kroku ITSM provádět tyto činnosti: • sbírat a analyzovat data pro stanovení výchozího stavu úrovně služeb IT a pro srovnávání schopnosti organizace regulovat a provádět management služeb; • identifikovat, plánovat a implementovat zlepšení; • konzultovat se všemi zainteresovanými stranami; • stanovit cíle pro zlepšování kvality, snižování nákladů a využití zdrojů; 51 • zvážit vhodné vstupy pro zlepšování ve všech procesech managementu služeb IT; • měřit, vykazovat a komunikovat zlepšování služeb; • změnit politiku, plány a postupy managementu služeb, pokud je to nezbytné; • zajistit, aby všechna schválená opatření byla využita k dosažení zamýšlených cílů. Významná zlepšení služeb IT musí být řízena jako projekt nebo několik projektů. 6.4 Plánování a implementace nových nebo změněných služeb Pokud jsou požadovány na organizaci nové nebo změněné služby IT, tak jejich návrhy musí brát v úvahu náklady, organizační, technické a obchodní vlivy, které mohou vyplynout z poskytování služeb, jejich sledování a udržování. Implementace nových nebo změněných služeb IT, včetně ukončení poskytování služeb IT, musí být plánovaná a odsouhlasená v rámci formálního procesu managementu změn. Plánování a implementace změn musí zahrnovat odpovídající financování a zdroje potřebné k provedení změn, pro dodání a management služeb. Tyto plány musí zahrnovat: • role a odpovědnosti pro implementaci, provozování a udržování nové nebo změněné služby IT včetně činností prováděných zákazníky a dodavateli třetích stran; • změny v existujícím systému managementu služeb IT a ve službách samotných; • komunikaci s příslušnými stranami; • nové nebo změněné smlouvy a dohody upravené podle změn v obchodních potřebách; • požadavky na pracovní síly a nábor; • požadavky na dovednosti a školení, např. konečných uživatelů, technické podpory; • procesy, měření, metody a nástroje, které budou použity v souvislosti s novými nebo změněnými službami, např. řízení kapacit, finanční řízení; • rozpočty a časové plány; • přejímací (akceptační) kritéria služeb; • očekávané výstupy z provozování nových služeb vyjádřené v měřitelných pojmech. Nové nebo změněné služby IT musí být akceptovány zákazníkem (odběratelem služeb) před spuštěním v provozním prostředí. Poskytovatel služeb IT musí podat zprávu o výstupech dosažených novou nebo změněnou službou IT v porovnání s plánovanými výstupy po jejím zavedení. Následné přezkoumání po zavedení, kdy se porovnávají skutečné výstupy s plánovanými, musí být provedeny v rámci procesu sledování a udržování změny a o výsledcích musí být podána zpráva příslušným stranám. 52 7 Systémy managementu bezpečnosti informací 7.1 Bezpečnost informací Bezpečnost informací si klade za cíl chránit informace v jakékoliv podob. Je zcela nepodstatné, jakou mají formu (listinnou nebo elektronickou), kde se uchovávají (zdali v trezoru nebo ve vzdáleném informačním systému). To co je podstatné, je hodnota chráněných informací, případně velikost škody vzniklé v souvislosti s „poškozením“ těchto informací. Bezpečná informace je definována, jako taková, jejíž důvěrnost, integrita a dostupnost jsou zachovány. Důvěrností se rozumí zajištění, že informace jsou přístupné pouze těm, kdo jsou k přístupu oprávněni, integrita znamená zajištění správnosti a úplnosti informací a metod jejich zpracování a konečně dostupnost informace je totéž, co její použitelnost pro oprávněné uživatele v okamžiku potřeby. Současné pojetí bezpečnosti informací a posuzování shody s požadavky se stalo součástí mezinárodních akreditačních a certifikačních standardů. Jejich stabilizaci jistě napomáhá také vývoj v oblasti systémů managementu jakosti. Do popředí zde vystupuje opět myšlenka integrovaného, dříve komplexního, managementu organizací. Spojení analogických požadavků a návodů pro oblasti životního prostředí, zajištění kvality, technické bezpečnosti, obecné bezpečnosti, ochrany zdraví a také informační bezpečnosti je na pořadu dne při současné aktualizaci norem ISO řady 9000. Informační bezpečnost je s managementem organizace spojena dvěma vazbami. První je souvislost marketingová. Pokud organizace zvyšuje svou důvěryhodnost na trhu cestou certifikace svého systému managementu jakosti (QMS), musí očekávat také auditorský dotaz na úroveň zabezpečení informací. Druhou souvislostí je neoddělitelnost informace od řízení organizace i od podnikových procesů samotných. Informace je v tomto případě zdrojem, podobně jako peníze nebo pracovníci. Nezajištěnost vlastních zdrojů ohrožuje produkci, tedy vstupy zákazníků a tím vede k růstu rizik pro organizaci samotnou a k lavinovitému šíření hrozeb do okolního komerčního prostředí. Informační bezpečnost má bezesporu zásadní význam pro organizace, jež ji prodávají jako součást své produkce. Softwarové, právnické, zpravodajské a konzultační firmy ji dokonce prodávají jako svou hlavní komoditu. Ovšem i jinde je bezpečnost informací kritickým znakem jakosti produkce. Například závada v technické dokumentaci se, společně s lidským selháním a technickou závadou, řadí ke třem hlavním příčinám nežádoucích provozních událostí např. v letectví. 7.2 Platné předpisy Vláda ČR schválila Národní strategii informační bezpečnosti ČR47 usnesením č. 1340 dne 19. 10. 2005. Národní strategie informační bezpečnosti ČR implementuje v podmínkách ČR Směrnici OECD pro bezpečnost informačních systémů a sítí: směrem ke kultuře bezpečnosti48 . V její příloze 249 je uveden přehled právních předpisů a norem, které se vztahují k této problematice a proto je zde nebudeme pro jejich rozsáhlost opakovat. Národní strategie informační bezpečnosti ČR si klade za cíl zvýšit důvěru občanů a subjektů komerční i nekomerční sféry v informační společnost, zlepšit celkové řízení informační bezpečnosti, rozvíjet znalosti o informační bezpečnosti, zlepšit mezinárodní spolupráci, shromáždit a doporučit nejlepší praxi pro oblast řízení informační bezpečnosti, zajistit 47 http://web.mvcr.cz/archiv2008/micr/files/2705/04_nsib_cr_v0_8__3_.pdf 48 http://web.mvcr.cz/archiv2008/micr/images/dokumenty/cz_security_guidelines_4_3__03.pdf 49 http://web.mvcr.cz/archiv2008/micr/files/2705/06_nsib_cr_priloha_2_v0_8__2_.pdf 53 základní lidská práva při používání informačních a komunikačních technologií a podporovat konkurenceschopnost české ekonomiky. Strategie formuluje snahy vlády ČR zavést cíle a směr informační bezpečnosti do praxe. Strategie vytváří společnou platformu pro zabezpečení informací veřejné správy, subjektů komerční i nekomerční sféry a jednotlivých občanů. V oblasti mezinárodních standardů byla britská norma BS 7799-2 říjnu 2005 přijata organizací ISO jako norma ISO/IEC 27001:2005 „Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky“. Norma poskytuje doporučení jak aplikovat vybraná opatření normy ISO/IEC 17799:2005 (do budoucna připravované normy ISO/IEC 27002) v rámci procesu ustavení, provozu, údržby a zlepšování ISMS v organizaci. Norma ISO/IEC 27001:2005 prosazuje přijetí procesního přístupu k řešení ISMS, zavádí Demingův model (PDCA), který může být aplikován na všechny procesy ISMS tak, jak jsou definovány touto normou. Norma ISO/IEC 27001:2005 je propojena a harmonizována s normami ISO/IEC 9001:2000 a ISO/IEC 14001:2004 tak, aby bylo podpořeno jejich konzistentní a jednotné zavedení a provoz. V hlavní části normy ISO/IEC 27001:2005 jsou specifikovány požadavky na vybudování, zavedení, provoz, monitorování, přezkoumání, udržování, zlepšování a případnou certifikaci zdokumentovaného systému managementu bezpečnosti informací. Jsou zde specifikovány požadavky na výběr a zavedení bezpečnostních opatření chránících informační aktiva. V příloze A normy ISO/IEC 27001:2005 jsou uvedeny cíle opatření a jednotlivá opatření, která jsou přímo propojena s cíly a opatřeními uvedenými v ISO/IEC 17799:2005. V příloze B je uveden vztah mezi principy OECD pro bezpečnost informačních systémů a sítí a fázemi PDCA cyklu. V příloze C je uveden vztah mezi normami ISO/IEC 9001:2000, ISO/IEC 14001:2004 a normou ISO/IEC 27001:2005. Organizace ISO vytváří v současné době novou sérii norem ISO 27000 pro oblast informační bezpečnosti, podobnou, jako pro normy řízení kvality ISO řady 9000. Do této série budou patřit následující normy: • Norma ISO 27000, která uvádí definice pojmů a terminologický slovník pro všechny ostatní normy z této série. • Norma ISO 27001, která je hlavní normou pro systém řízení bezpečnosti informací (ISMS), dříve to byla norma BS 7799 část 2, podle které byly ISMS certifikovány. Norma ISO 27001 byla publikována koncem října 2005. • Norma ISO 27002 (dříve normy ISO/IEC 17799 a BS7799-1), která je aktuální verzí normy, která byla vydána v červnu 2005 jako ISO/IEC 17799:2005 a označena ISO 27002:2005 v roce 2007. • Norma ISO 27003, která je návodem k implementaci ostatních norem a očekává se její publikace počátkem roku 2009. • Norma ISO 27004, která bude vydána pod názvem "Information Security Management Metrics and Measurement". (Metriky a měření). • Norma ISO 27005 (dříve BS 7799-3) , která bude vydána pod názvem "Information Security Management Systems - Guidelines for Information Security Risk Management" a měla by nahradit BS 7799 část 3. (Informační technologie - bezpečnostní techniky mezinárodní uznávaná směrnice pro uznání osob pro řízení certifikace / registrace zabezpečení systémů řízení informací). • Norma ISO 27006, která bude vydána pod názvem “Information technology - Security techniques - International accreditation guidelines for the accreditation of bodies operating certification / Registration of information security management systems”. • Norma ISO 27007, která uvádí doporučení pro auditování ISMS. 54 Obr. 7.2: Přehled řady norem ISO/IEC 27000 7.3 Zavádění systému managementu bezpečnosti informací Postup zavedení ISMS lze zjednodušeně popsat následujícími kroky: • Definice rozsahu ISMS. • Definice politiky ISMS. • Stanovení metodiky pro hodnocení rizik a provedení hodnocení rizik. • Řízení rizik. • Stanovení bezpečnostních cílů a opatření včetně cílů kontrol a jednotlivých kontrol pro zvládání rizik. • Zpracování prohlášení o aplikovatelnosti. Tento postup nyní popíšeme podrobněji v rámci Demingova cyklu, viz obr. 7.2. 7.3.1 Ustavení ISMS Ustavení politiky ISMS, cílů, procesů a postupů souvisejících s managementem rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace. V této fázi je nutné nejprve identifikovat a ohodnotit aktiva organizace, dále identifikovat a ohodnotit zranitelnost aktiv, určit pravděpodobnost výskytu hrozeb a na základě zjištěných skutečností určit míry rizik. Na základě zpracování komplexní analýzy rizik, která dále slouží jako podklad pro efektivní uplatnění bezpečnostních opatření a následné zavedení řízení rizik s ohodnocením existujících rizik je možno definovat bezpečnostní politiku. Dále pak je možné definovat cíle informační bezpečnosti a způsob jejich naplnění v návaznosti na cíle organizace. V bezpečnostní politice jsou definovány základní odpovědnosti, organizace a řízení bezpečnosti, řízení aktiv, personální bezpečnost, fyzická bezpečnost a bezpečnost prostředí, řízení komunikací a provozu, řízení přístupu, pořízení, vývoj a údržba informačních systémů, správa incidentů informační bezpečnosti, řízení kontinuity činností organizace a soulad s požadavky. Poslední částí plánovací fáze je vytvoření ucelené soustavy bezpečnostní dokumentace, která pokrývá celý životní cyklus informačního a komunikačního systému organizace a všechna jeho aktiva. Jsou to například metodické pokyny, bezpečnostní příručky, směrnice, havarijní plány, plány zálohování a obnovy apod. 55 Obr. 7.2: Demingův model PDAC aplikovaný na ISMS. Aby tato soustava splňovala požadavky na systém, který je možné řídit, musí být zajištěna jednoznačná identifikace každého dokumentu, jednotně vedená evidence této dokumentace, vymezeny role v systému řízení, jejich působnost a odpovědnost a definovány procesy řízení životního cyklu této dokumentace. 7.3.2 Zavádění a provozování ISMS V této fázi se na základě politiky ISMS, opatření, procesů a postupů formuluje a zavádí plán zvládání rizik, zavádějí se opatření v souladu s potřebami organizace, zavádí se program zvyšování bezpečnostního povědomí, řízení dostupných zdrojů, řízení provozu - zavedení postupů pro správu dokumentů a záznamů a zavádění postupů pro včasnou detekci bezpečnostních incidentů a rychlou reakci. 7.3.3 Monitorování a přezkoumání ISMS V této fázi se provádí detekování bezpečnostních incidentů a sledování účinnosti opatření informační bezpečnosti, pravidelné posuzování účinnosti opatření informační bezpečnosti, pravidelná revize zbytkových a akceptovaných rizik, provádění pravidelných interních auditů informační bezpečnosti, registrování událostí s dopadem na účinnost a efektivnost opatření informační bezpečnosti. Posouzení, kde je to možné i měření výkonu procesu vůči politice ISMS, cílům a praktickým zkušenostem a hlášení výsledků vedení organizace k přezkoumání. 7.3.4 Udržování a zlepšování ISMS V této fázi cyklu řízení informační bezpečnosti se provádí zlepšování systému řízení informační bezpečnosti na základě provedených kontrol a auditů, tj. přijímají se opatření k nápravě a preventivní opatření, založená na výsledcích interního auditu ISMS a přezkoumání systému řízení ze strany vedení organizace tak, aby bylo dosaženo neustálého zlepšování ISMS. 56 Obr. 7.3: Implementace procesů v ISMS. Na obr. 7.3 jsou uvedeny pro lepší pochopení Demingova cyklu v ISMS jednotlivé kroky, které se musí realizovat v jeho jednotlivých fázích. 57 8 Integrace systémů managementu a jeho zavádění Jak již bylo zmíněno dříve, pro úspěšné řízení organizace je nutno její jednotlivé systémy managementu propojovat. V zásadě jsou dva možné způsoby - postupné zavádění jednotlivých systémů a jejich následná integrace nebo zavedení integrovaného systému přímo. Jednotlivé systémy managementu popsané v předchozích kapitolách jsou po formální stránce vysoce kompatibilní a integrovaný systém QMS, EMS a BOZP přináší organizacím mnoho výhod, vývojová tendence k němu prokazatelně směřuje, avšak dosud chybí vhodná metodika, která by dokázala integrované systému managementu účelně realizovat. V odborné literatuře a článcích se objevují doporučené kroky a obecná pravidla procesu integrace, své vlastní postupy používají různé komerční poradenské firmy, pro něž je to know-how, které prodávají na trhu. Podpůrný nástroj, který by pomohl samotné organizaci účinně propojit zavedené systémy managamentu (resp. jejich prvky a procesy), však dostupný není. Je zřejmé, že každý doporučený postup a teorie musí být přizpůsobeny naprosto konkrétním podmínkám a následně ověřeny vlastní praxí. Obecně je cílem vytvořit systém, který bude pro organizaci praktický a komplexní a bude představovat jednak metodický základ a jednak prostor pro specifika odvětví a podniku. Takový systém by mohl být založen např. na procesu řízení rizik. Jde však více o způsob myšlení o rizicích organizace, procesech a lidech, včetně otázek etiky a podnikové kultury, než exaktní návod pro výkon managementu. Tato idea účinného řízení bezpečnosti není založena jen na pouhé kompozici či kombinaci dosud odděleně zpracovávaných dat o rizicích v QMS, EMS a BOZP, ale na nutnosti vytvoření, pokud možno jednoduchého, systémového a sjednocujícího přístupu v posuzování a poměřování reálných rizik. Řada systémových nástrojů managementu, jako je plánování, řízení dokumentace, záznamů, interní audity, nápravná a preventivní opatření, neshody a přezkoumání systému managementu jsou již společné všem systémům managementu založených na požadavcích norem ISO, jak bylo již uvedeno v předchozích kapitolách. Avšak proces řízení rizik je nezbytnou součástí pouze systému managementu BOZP a ve zjednodušené formě EMS (identifikace a hodnocení environmentálních aspektů), ačkoliv prakticky všechny činnosti a aktivity organizací jsou nutně spojeny s různými riziky. Nejde pouze o rizika vzniku úrazů a nehod, ale také o rizika poškození životního prostředí, rizika spojená se zajišťováním kvality produktů a spokojenosti zákazníků nebo rizika čistě ekonomická související se ziskem, investicemi apod.. Tedy každá organizace musí s možnými riziky počítat, a proto by tedy měla mít zavedeny mechanismy pro účinnou identifikaci zdrojů možných rizik a následnou analýzu a posouzení rizik, tj. nástroje pro zajištění účinné prevence všech potenciálních rizik. Principem integrace systémů managementu by tedy mohlo být zavedení a rozvíjení účinného systému řízení rizik, založeného na koncepci neustálého zlepšování, který povede danou organizaci k eliminaci a zvládání negativních jevů působících na organizaci, a to negativních jevů ve smyslu jak bezpečnosti, tak i ochrany životního prostředí a kvality. Hlavním cílem je trvalé snižování rizik na přijatelnou úroveň, a zároveň využívání rizik jako příležitostí pro další rozvoj společnosti a dosahování konkurenčních výhod, a tím dosahování strategických cílů organizace. Řízení rizik musí být tedy součástí jejího běžného řízení, tzn. musí být integrováno do procesu plánování a řízení výkonu organizace. Zásadní etapou v tomto procesu je identifikace nebezpečí a posouzení rizik ve všech klíčových oblastech řízení (tj. kvalita, ochrana životního prostředí, bezpečnost) vycházející z koncepce systému managementu BOZP podle normy OHSAS 18001. 58 Model založený na identifikaci nebezpečí a posouzení rizik má všechny potřebné vlastnosti, aby byl proces integrace realizovatelný a rozbor vývoje manažerských systémů QMS, EMS a BOZP taktéž ukazuje, že integrace s využitím rizik jako integrujícího prvku je možná. Nicméně bude při tvorbě tohoto integrovaného systému managementu třeba překonat některé myšlenkové bariéry, vytvořit srozumitelnou a snadno sdělitelnou koncepci integrace a nalézt vhodné motivační prvky a indikátory výkonnosti systému. V souladu s obsahem a strukturou systémových norem – ČSN OHSAS 18001, ČSN EN ISO 14001, ČSN EN ISO 9001 a příručkou ILO OSH – 2001, jsou do integrovaného systému managementu zabudovány nově požadavky týkající se řízení dokumentů a záznamů, řízení provozu a požadavky zabývající se nakupováním, smluvními vztahy, auditem, požadavky na přezkoumání systému řízení vedením organizace a na neustálé zlepšování. Integrovaný systém řízení zavedený podle programu „Bezpečný podnik“, umožňuje systémově pokrýt (z hlediska BOZP) činnosti prováděné v dané organizaci, a zároveň i výrazně omezit jejich eventuálně negativní působení na její okolí. Obr.8.1: Základní schéma integrovaného managementu. Schéma na obr. 8.1 je navrženo jako obecná podoba manažerského systému založeného na Demingově přístupu a požadavku trvalého zlepšování. Vlastní složení integrovaného systému je pak dáno vyhlášenou politikou, která jasně ukáže, které složky byly integrovány. Další kroky musí přímo navazovat na vyhlášenou politiku, naplánovat cesty jejího plnění, zajistit zdroje pro naplnění plánů a pravidelně přezkoumávat účinnost celého systému. V dalším textu budou popsány obě varianty, postupné zavádění a integrace nebo přímo zavedení integrovaného manažerského systému „na zelené louce“. 8.1 Porovnání jednotlivých prvků složkových systémů Integrovaný manažerský systém může být složen z proměnného počtu součástí zavedených v libovolném pořadí. V dalším textu budou diskutovány varianty kombinací jednotlivých systémů a jejich propojování. Syntéza různých prvků pro odlišné oblasti managementu zajistí celkový obraz chování organizace. Umožní omezit duplicitu při identifikaci rizik, rozvoji a 59 udržování potřebných řídících kroků, auditech atd. Vytvoří konzistentní přístup k řešení problémů napříč jednotlivými systémy. Z popisu jednotlivých možných složek integrovaného managementu v předchozím textu je zřejmé, že nejrozšířenější zavedený formalizovaný systém v současnosti je QMS. Obr. 8.2: Srovnání ISO 9001 a ISO14001. 60 Ukazuje se, že správně zavedený a využívaný QMS přináší organizacím zvýšení konkurenceschopnosti a obchodní výhody. V průběhu zavádění QMS jsou zmapovány jednotlivé kroky výrobního procesu, určené pravomoci a zodpovědnosti. Všichni pracovníci jsou proškoleni, je zaveden systém monitoringu, měření a kontroly. Je vytvořena stupňovitá struktura dokumentace, zahrnující také pracovní instrukce pro správnou výrobní praxi. Při správném uplatňování prvků QMS je udržována jakost výrobků, snižuje se množství neshodných výrobků, které musejí být vyřazeny nebo opravovány. Většina zde uvedených atributů QMS je využitelná i při zavádění EMS jako druhého systému v pořadí. Na obr. 8.2 je vidět překrývání obou systémů (ISO 9001:2000 vs. ISO 14001:2004). Z již zavedeného systému lze navázat vedle struktury zodpovědností a pravomocí zejména na pyramidu dokumentace, která je doplněna v nižších vrstvách o instrukce pro ochranu ŽP a pro účely certifikace je vypracována oddělená příručka řízení (manuál) pro EMS. Pracovní návyky lidí, zapojených do budování předchozího systému a jejich zkušenosti s manažerským systémem jsou rovněž velmi cenné. Zlepšování jakosti a snižování množství neshodných výrobků je zároveň jakostním i environmentálním atributem (snižuje se ztráta energií a surovin, klesá množství odpadů). Obvykle také interní auditoři QMS bývají proškoleni i pro audity EMS. V tomto srovnání není zásadní rozdíl mezi požadavky ISO 14000:2004 a ISO 9000:2000. 8.2 Kombinace vybraných systémů managementu 8.2.1 Kombinace EMS – SMBOZP Jiná možnost integrace je propojení zavedeného EMS se systémem BOZP. Pokud je zaveden funkční EMS, nezáleží na tom, zda navazoval už na dříve zavedený QMS, nebo byl zaváděn jako první systém v organizaci. Vyhlášená environmentální politika se doplní o body týkající se bezpečnosti a ochrany zdraví při práci. Kromě prvků využitelných stejně jako z QMS (struktura zodpovědností, dokumentace, metodika auditů, struktura školení, auditoři), lze použít také seznam environmentálních aspektů, který vychází z popisu technologie a průběhu výrobního procesu, a hledat mimo dopady do životního prostředí také dopady na bezpečnost a zdraví. Na počátku zavádění systému BOZP je nutno identifikovat zdroje nebezpečí. Registr environmentálních aspektů určitě zahrnuje všechny chemické látky vyskytující se v organizaci, takže poslouží jako zdroj informací i v oblasti působení chemických látek na pracovníky a okolní obyvatelstvo z hlediska dopadu na jejich zdraví. Budou zde zahrnuty všechny chemické látky, ať už se vyskytují v organizaci jako suroviny, pomocné látky, meziprodukty nebo odpady. Při zavádění EMS jsou aspekty klasifikovány jako významné a nevýznamné, řízené a neřízené. Toho je možné využít při hodnocení přijatelnosti rizik, vyplývajících z těchto zdrojů nebezpečí. Samozřejmě registr environmentálních aspektů a dopadů nepokrývá všechny zdroje nebezpečí, např. nebezpečí mechanické nebo z pohybujících se částí. Takové zdroje nebezpečí musí být identifikovány rovněž, ale jako zdroj informací může posloužit blokové schéma výrobního procesu, které určitě bylo vypracováno i pro vstupní hodnocení v EMS. Dalším krokem, který lze účinně propojit, jsou kombinace environmentálních a bezpečnostních programů. Dobře navržený environmentální program má vždy kladné dopady i v oblasti BOZP, např. vyloučení toxických surovin, které by poškozovaly ŽP je zároveň zlepšením z hlediska bezpečnosti a hygieny práce, protože eliminuje dané riziko pro zdraví pracovníků. 61 8.2.2 Kombinace SMBOZP – EMS Stejný postup je využitelný i obráceně, kdy organizace z nějakého důvodu začíná jako s prvním systémem s řízením BOZP a následně hodlá zavádět EMS. Stačí, když v rámci identifikace zdrojů nebezpečí, cílů a cest přenosu jsou uvažovány i cíle v životním prostředí. Navržené bezpečnostní programy pak bezesporu mají významné dopady i do životního prostředí, např. sníží-li se riziko úniku chemické látky z procesu (ochrana zdraví pracovníků), sníží se také riziko poškození životního prostředí uniklou látkou. 8.2.3 Kombinace QMS – SMBOZP Vzhledem k relativně velké četnosti zavedených QMS v organizacích a výraznému tlaku legislativy, který nutí organizace hodnotit a řídit svá rizika, lze očekávat i tuto variantu. Na obr. 6.3 je srovnání QMS – SMBOZP, ale pro vytvoření ISM lze opět využít z již zavedeného systému QMS vedle struktury zodpovědností a pravomocí zejména pyramidu dokumentace, která je doplněna v nižších vrstvách o instrukce pro řízení a omezování rizik. Pracovní návyky lidí, zapojených do budování předchozího systému QMS a jejich zkušenosti s manažerským systémem jsou rovněž velmi cenné. Obr. 8.3: Srovnání ISO 9001 a OHSAS 18001. 8.2.4 Kombinace SMBOZP - QMS Zde se jde o obdobný postup jako v předchozím případě (QMS – SMBOZP). 8.3 Integrovaný manažerský systém Jak je vidět, IMS může být kombinací dvou nebo tří základních složkových systémů, management výrobků bývá zahrnut částečně do QMS a částečně do EMS, i v systému BOZP má svou roli. Obr. 6.4 naznačuje, jak jsou propojeny faktické činnosti v jednotlivých systémech řízení organizace. Dokud nebude vytvořen jednotný certifikovatelný model integrovaného manažerského systému, budou organizace z různých důvodů potřebovat certifikaci separátních systémů, aby se jí mohly prokazovat v obchodním styku. Pro tyto účely proto vytvářejí oddělené příručky řízení jednotlivých systémů. Systém řízení je pak fakticky integrován, ale formálně se vykazují jednotlivé certifikované dílčí systémy. 62 Obr. 8.4: Schéma propojení QMS, EMS a BOZP. 8.4 Náklady na certifikaci Náklady na certifikaci IMS pro MKP organizaci, která má 10 zaměstnanců jsou uvedeny v tab. 8.1. Byly odvozeny v práci Jakuba Mrocka: Systémy managementu podniku50 , na základě šetření u certifikačních firem. Mohou se lišit až o 20%. 50 http://www.svses.cz/skola/akce/konf/inovace06/texty/mrocek.pdf 63 Tab. 8.1: Náklady na certifikaci IMS. 64 9 Zavádění IMS podle základního schématu založeného na hodnocení rizik Zavádění integrovaného manažerského systému odpovídajícího základnímu schématu lze založit na postupu pro kterýkoliv složkový systém. Výsledný systém integruje prvky QMS, EMS a SMBOZP. V následujícím textu budou podrobněji rozebrány jednotlivé kroky při zavádění IMS. 9.1 Stanovení závazku vedení a politiky IMS Od vrcholového managementu organizace se očekává přijetí koncepčních rozhodnutí a zabezpečení zdrojů, nutných pro zavedení a provozování IMS. Všechny tři systémy vyžadují, aby vedení vyhlásilo příslušnou politiku a cíle - to může být provedeno jedním dokumentem společnou politikou jakosti, životního prostředí a bezpečnosti, stejně tak v jednom dokumentu mohou být určeny cíle pro jakost, životního prostředí a bezpečnost a ochranu zdraví při práci. Vedení též může určit jednu osobu, která bude plnit úlohu představitele vedení pro jakost, životního prostředí a bezpečnost, uskutečňovat společné přezkoumání apod. V tomto kroku má být vyhlášena rámcová politika IMS, která nastíní směr vývoje systému integrovaného managementu a priority vedení. Ze znění politiky musí být zřejmé, které oblasti řízení byly do IMS zařazeny. Tím, že bude oznámena všem pracovníkům, zvýší se jejich zainteresovanost na zavádění systému v té oblasti, kterou mohou ovlivnit svou vlastní prací. Součástí tohoto kroku je i školení top managementu. Politika organizace je veřejné prohlášení podepsané vrcholovým vedením, které vyjadřuje závazek a úmysl organizace řídit své povinnosti v rámci integrovaného managementu. Vyhlášením politiky vysílá organizace zřetelný signál, že má záměr a závazek uplatnit integrovaný management v celém svém rámci. Politika musí zaměstnancům, dodavatelům, zákazníkům a dalším zainteresovaným stranám jasně ukazovat, že integrovaný management je nedílnou součástí veškerých činností organizace. Tento závazek je dále upevňován aktivní účastí vedení organizace na přezkoumávání a trvalém zvyšování úrovně integrovaného managementu 9.2 Vstupní přezkoumání Jediným rozdílem je identifikace zdrojů nebezpečí a identifikace cílů – musí být zahrnuty i zdroje a cíle mimo oblast BOZP, tj. ty, které se týkají jakosti výroby a výrobků a životního prostředí. Velmi často jeden zdroj nebezpečí má dopady na více typů cílů. Přijmeme–li názor, že např. nedodržení jakosti výrobku je rovněž rizikem pro podnik, následující etapy zavádění systému vlastně nepotřebují v obecné formě korekci. 9.3 Plánovací etapa Cíle a cílové hodnoty budou vybírány podle priorit podniku a nebudou rozlišovány podle oblastí na QMS, EMS a SMBOZP. Programy naplňování cílů často docílí souběžně zlepšení ve více oblastech najednou. Např. snížení zmetkovitosti je jasným cílem pro jakost, ale zároveň přináší snížení rizik pro ŽP (úspora surovin a energií, zmenšení množství odpadů) a také snížení rizik pro pracovníky a zákazníky (nestandardní výrobek může být zdrojem poranění při nakládání s ním). 65 9.4 Prováděcí etapa Ani v této etapě nejsou odchylky od metodiky v předchozím textu. Důraz je kladen na zprůhlednění výrobních postupů, kvantifikaci materiálových a energetických toků, zjednodušení systému řízení, jasnou organizační strukturu s určením kompetencí a přehledné toky informací. Důležitou roli hraje dokumentace a záznamy. V této oblasti lze díky integraci předpokládat největší zjednodušení. V řadě případů lze připravit jeden dokument, který bude vyhovovat všem třem manažerskýn systémům - například postup pro skladování může obsahovat požadavky jak z pohledu jakosti, tak ochrany životního prostředí i bezpečnosti práce. Stejně tak lze spojit příručku v jeden dokument. Osvědčil se list na šířku rozdělený na tři části. V rámci takto vytvořených částí lze psát požadavky, které vyžadují jednotlivé manažerské systémy, nebo pole spojit a psát požadavky společné dvěma nebo všem třem systémům. V dokumentaci se ovšem nevyhneme samostatným dokumentům, například havarijním plánům, postupům pro řešení úrazů. Do jisté míry se může podařit i sjednocení záznamů. 9.5 Kontrolní etapa Audit IMS bude z formálního hlediska podobný auditu EMS nebo QMS, změní se náplň otázek. Konkrétní okruhy otázek kromě části systémové (shoda popsaného systému integrovaného managementu s realitou) budou mít část individuálně upravenou pro určité pracoviště. Bude nutno vyškolit interní auditory se znalostí problematiky v rozsahu, zahrnutém do IMS. 9.6 Vlastní prohlášení Vlastní prohlášení vedení podniku i zde nahrazuje zatím nedostupnou certifikaci IMS. Bude vydáno ve znění, které je v souladu s politikou IMS. Organizace ho využije jako nástroj vnitřní i vnější komunikace. 66 10 Procesní řízení 10.1 Funkční versus procesní způsob řízení Koncem 20. století převládal v České republice funkční způsob řízení, který se používal jak v oblasti průmyslu, tak i v oblasti státní správy. Hlavním znakem tohoto přístupu je dělení práce mezi funkční jednotky vytvořené na základě jejich dovedností (znalostí). Tyto jednotky vykonávají pouze svou část práce a nejsou zainteresovány na celkovém výsledku. Firma je pak řízena potřebami jednotlivých funkčních jednotek a cesta ke zlepšení vede ve funkčním modelu zpravidla skrze zvyšování výkonnosti každé organizační jednotky. Obr. 10.1 : Funkční způsob řízení. Oproti funkčnímu přístupu, kde je základním kriteriem organizačního dělení dovednost, je procesní způsob řízení orientován na výsledek práce (produkt). Práce není vykonávána separátně v oddělených funkčních jednotkách, ale naopak jimi protéká. Celý systém je pak řízen potřebami zákazníka, zpravidla formou řízení interakcí a rozhraní, což znamená řízení produktů a meziproduktů, neboť procesní řetězce je nejlépe identifikovat od výstupních produktů a postupovat zpětně. Při procesním způsobu dochází ke zlepšením obvykle formou optimalizace a zjednodušení celého toku práce. Existuje mnoho potenciálních výhod, které lze realizovat v případě hlubšího pochopení řízení prováděných procesů a orientace na procesní způsob řízení. Řízení procesů vede k mnohem efektivnější koordinaci práce při jejím toku z oddělení do oddělení a následně ke snížení chybovosti a větší schopnosti správně plnit požadavky zákazníka hned napoprvé, včas a bez výjimky. Procesní způsob řízení vede (obvykle dynamicky) ke zvýšení informovanosti o zákaznících a omezuje konflikty mezi jednotlivými odděleními, jakož i prodlevy mezi různými kroky celého procesu. Zdroje (peníze, lidé, technologie) Vstupy Produkty Oddělení/útvar 67 Obr. 10.2: Procesní způsob řízení. 10.2 Hierarchie procesu Procesy jsou pracovní toky, mající své hranice, tedy svůj začátek a konec. První hranici tvoří v případě všech procesů počáteční (tzv. primárními) vstupy, které dávají podmět k zahájení vykonávání procesu a které pocházejí od primárních dodavatelů. Druhou hranicí jsou primárními výstupy (ať již hmotné či nehmotné), jež se objevují na konci procesů a jsou určené primárním zákazníkům procesu. Velmi často proces vyžaduje další sekundární vstupy, které se do něj začleňují a jsou nezbytné k jeho dokončení. V různých fázích mohou být například potřebné manažerské informace poskytované informačním systémem. Stejně tak existují i sekundární výstupy, které nejsou účelem daného procesu a vznikají jako jeho vedlejší produkty. Sekundární výstupy jednoho procesu mohou dále sloužit jako primární vstup procesu jiného. Jediným účelem procesu je uspokojení jeho zákazníků, přičemž v každém procesu mohou existovat zákazníci různých typů: • Primární zákazník (interní) – nacházející se mimo proces, je příjemcem primárních výstupů. • Sekundární zákazník (interní) - nacházející se mimo proces, je příjemcem sekundárních výstupů. • Nepřímý zákazník (interní) – nedostává primární výstupy, ale produkty, které vznikly transformací z primárních výstupů, takže může negativně pociťovat opožděnost či chybovost způsobenou touto transformací. • Externí zákazník – nachází se mimo proces, dostává výstupy procesu, ať již v neupravené či upravené podobě. V každé firmě vznikají různé typy procesů, mezi nimiž je zapotřebí rozlišovat a identifikovat ty, jež mají pro chod firmy klíčový význam. Z tohoto pohledu rozlišujeme tři typy firemních procesů: • Primární (klíčové) procesy – jejich výsledkem je produkce výstupů požadovaných externím zákazníkem. Tyto procesy představují hlavní náplň činnosti firmy. • Sekundární procesy – jsou procesy, které jako svůj primární vstup používají sekundární výstup některého z primárních procesů. Tyto procesy nepředstavují hlavní pracovní náplň firmy a jsou pouze jakousi „doplňkovou“ činností. Zdroje (peníze, lidé, technologie) Vstupy Produkty Zákazník: • Interní • Externí Proces Proces Proces Proces 68 • Podpůrné procesy – jsou procesy umožňující existenci primárních a sekundárních procesů. Co je primární, co sekundární a co podpůrný proces lze ukázat na příkladu malé firmy zabývající se zámečnickými pracemi. Zde je primárním procesem například výroba klíčů. Dalším primárním procesem je vyřízení fakturace za předané výrobky. Sekundárními procesy jsou například sběr a prodej kovového odpadu, jež vzniká při výrobě klíčů. Podpůrným procesem k těmto primárním a sekundárním procesům může být údržba nářadí zámečnické dílny nebo vytápění dílny. 10.3 Měření výkonnosti procesů Nutným předpokladem pro to, abychom mohli navrhovat optimální strukturu procesů, je mít možnost měřit jejich výkonnost. Měření stávajících procesů umožňuje zvažovat různé možnosti jejich zdokonalování i jejich porovnání s obdobnými („konkurenčními“) procesy jiných firem. Nejčastějšími výkonnostními kriterii pro měření procesů jsou čas, náklady a kvalita. Obr. 10.3 : Výkonnostní kritéria. 10.3.1 Čas V případě firemních procesů je základním výkonnostním kritériem čas. Celkový čas procesu (Elapsed Time) lze vyjádřit jako součet času zpracování (Processing Time) a času prodlevy (Waiting Time - Delay). Čas zpracování je doba, po kterou jsou v rámci procesu alokovány zdroje, zatímco čas prodlevy je doba, kdy produkt (meziprodukt) čeká na uvolnění zdrojů. 10.3.2 Náklady Náklady jsou do značné míry druhotným výkonnostním kritériem odvozeným od času. Celkové náklady procesu lze opět vyjádřit jako součet dvou složek - variabilní a fixní. Variabilními náklady se rozumí zejména náklady přímo vynaložené na zdroje, fixními se pak rozumí režijní náklady organizace. Dnes se obvykle fixní náklady v rámci firem rozpočítávají na jednotlivé procesy podle poměru jejich variabilních nákladů, což může vést k nepřesnému ohodnocení procesů. Daleko přesnější metodou je vztažení nákladů na jednotlivé činnosti tvořící proces (ABC Activity Based Costing). Fixní náklady se pak určují na základě času zpracování, který jednotlivé činnosti zaberou, a jsou tedy funkcí času. Ideální stav Náklady Kvalita Čas 69 10.3.3 Kvalita V případě procesního modelu řízení, kde je základní orientace směřována na produkt, je kvalita výsledného produktu rovněž jedním z kriterií výkonnosti celého procesu. Kvalitu produktu lze chápat jako souhrn odchylek od předem definovaných parametrů produktu. Základním ukazatelem kvality produktu pak je, zda tyto odchylky jsou či nejsou v toleranci, což však nemusí být pro ohodnocení celkové kvality procesu vždy dostatečný údaj. Daleko přesnější je vyjádření míry odchylek. Další specifickou vlastností kvality produktu jako výkonnostního kriteria celého procesu je fakt, že její míra může být závislá na subjektivním hodnocení posuzovatele, což je při hodnocení produktu zapotřebí maximálně eliminovat. 10.4 Stanovení výkonnosti správních procesů Z předchozích odstavců vyplývá, že pro určení výkonnosti firemního procesu je zapotřebí vyčíslit jeho čas, náklady a kvalitu výsledného produktu. V případě procesů, které se skládají z více elementárních činností, lze čas a náklady celého procesu vyjádřit jako souhrn časů a nákladů jednotlivých činností. Procesy však mohou obsahovat činnosti, jejichž vykonání může být něčím podmíněno, a tedy ne všechny činnosti, jež jsou v rámci procesu nadefinovány, musejí být v konkrétním případě vždy vykonány. Z toho důvodu má smysl hovořit o minimálním čase a minimálních nákladech procesu, jako o nejnižších možných hodnotách, kterých lze při vykonání daného procesu dosáhnout. Podobně jako o minimálním čase a minimálních nákladech můžeme hovořit i maximálních hodnotách těchto veličin. Význam těchto hodnot spočívá v tom, že pro daný proces vymezují interval, v němž se budou hodnoty času a nákladů při jeho vykonávání pohybovat. Hodnotami, jež mají v případě posuzování výkonnosti procesů největší vypovídací schopnost jsou průměrný čas a průměrné náklady. Ty opět získáme na základě časů a nákladů potřebných pro vykonání jednotlivých činností, z nichž se celý proces skládá. Je však zapotřebí mít k dispozici údaje o průměrných časech a nákladech jednotlivých činností a znát pravděpodobnost, s jakou budou jednotlivé činnosti v rámci procesu vykonány. Zmiňované průměrné hodnoty vztažené k jednotlivým činnostem, lze ve firmě získat především na základě statistik, evidencí a pohovorů. 10.4.1 Čas firemního procesu Celkový průměrný čas procesu P označený jako ET (P) je dán součtem jeho času zpracování PT (P) a času prodlevy WT (P). Tedy: ET (P) = PT (P) + WT (P) (1) Předpokládejme, že proces P se skládá z n činností (kde n > 0), kde i-tou činnost označme ai. Dále předpokládejme, že činnost ai bude při vykonávání procesu P vykonána s pravděpodobností p(ai). Celkový čas zpracování procesu je pak roven váženému součtu časů zpracování jednotlivých činností, kde se jako váhy použijí pravděpodobnosti, s nimiž budou jednotlivé činnosti prováděny. Pak: PT (P) = p(a1) . pt(a1) + . . . + p(an) . pt(an) , (2) kde pt(ai) značí průměrný čas zpracování i-té činnosti. Čas prodlevy celého procesu lze získat stejným způsobem, tedy váženým součtem časů prodlevy jednotlivých činností označených wt(ai): 70 WT (P) = p(a1) . wt(a1) + . . . + p(an) . wt(an) (3) Po dosazení (2) a (3) do (1) získáme vztah: ET (P) = p(a1) [pt(a1) + wt(a1)] + . . . + p(an) [pt(an) + wt(an)] (4) 10.4.2 Náklady firemního procesu Celkové průměrné náklady (TC – Total Costs) firemního procesu P jsou rovny součtu jeho variabilních nákladů (VC) a fixních nákladů (FC): TC (P) = VC (P) + FC (P). (5) Celkové variabilní náklady procesu jsou rovny váženému součtu variabilních nákladů jednotlivých činností vc(ai). Jako váhy se opět použijí pravděpodobnosti, s nimiž budou jednotlivé činnosti prováděny: VC (P) = p(a1) . vc(a1) + . . . + p(an) . vc(an) (6) Při vyčíslování fixních nákladů opět vztáhneme tyto náklady na jednotlivé činnosti tvořící celý proces. Narozdíl od variabilních však nejsou fixní náklady přímo vynakládány na příslušné činnosti, ale je třeba je na tyto činnosti rozpočítat z celkových provozních nákladů organizace. Možný způsob, jak vyčíslit fixní náklady činnosti, je stanovit pro každou činnost fixní náklady fc(ai) za pevně zvolenou časovou jednotku a tyto násobit průměrným časem zpracování příslušné činnosti, čímž získáme průměrné fixní náklady činnosti. Průměrné fixní náklady celého procesu jsou pak opět rovny váženému součtu jednotlivých průměrných fixních nákladů všech činností procesu, kde se jako váhy použijí pravděpodobnosti, s nimiž budou jednotlivé činnosti prováděny. FC (P) = p(a1) . pt(a1) . fc(a1) + . . . + p(an) . pt(an) . fc(an) (7) Po dosazení (5) a (6) do (7) získáme vztah pro výpočet celkových průměrných nákladů správního procesu. TC (P) = p(a1) [ vc(a1) + pt(a1) . fc(a1)] + . . . + p(an) [vc(an) + pt(an) . fc(an)] (8) 10.4.3 Kvalita firemního procesu Kvalita jako kriterium výkonnosti firemního procesu se svou povahou výrazně odlišuje od zbývajících dvou kriterií. Na rozdíl od času a nákladů není kvalita přímým ohodnocením jednotlivých činností, ale je posouzením výsledného produktu. Z toho důvodu je v některých případech poměrně obtížné přesně stanovit, jak a v jaké míře se jednotlivé činnosti procesu na kvalitě produktu podílí. Přitom proces není posuzován pouze z pohledu jakosti výrobku, ale i z pohledu dalších oblastí, jež jsou součástí integrovaného managementu firmy, tedy například z pohledu environmentálního nebo bezpečnosti a ochrany zdraví. Určit kvalitu firemního procesu tedy znamená posoudit z mnoha různých úhlů pohledu náplň a sled jednotlivých činností procesu 71 10.4.4 Celková výkonnost firemního procesu Jak již bylo uvedeno v předchozím textu, celková výkonnost procesu je výsledným shrnutím tří faktorů, jimiž jsou čas, náklady a kvalita. Na rozdíl od času a nákladů, které jsou spojitými veličinami, jejichž hodnotu lze s určitou přesností vyčíslit, lze na kvalitu procesů pohlížet jako na binární veličinu (nabývající hodnot dostatečná/nedostatečná). Proces, jehož kvalita je nedostatečná, vytváří nevyhovující produkt (rozhodnutí), a lze na něj pohlížet jako na proces s nulovou výkonností, bez ohledu na to, jaký je jeho čas a náklady. V dalších úvahách proto postačí omezit se pouze na procesy s dostačující kvalitou. Při navrhování procesů se dosahuje časové úspory zpravidla za cenu vyšších nákladů a naopak snížení nákladů na proces si často vyžádá delší čas potřebný pro jeho vykonání. Vedle toho firmy mohou preferovat u některých svých procesů úsporu času a u jiných naopak úsporu nákladů. Pro to, aby bylo možné vyčíslit celkovou výkonnost procesu, je zapotřebí mít k dispozici mechanizmus, kterým lze čas a náklady vzájemně přepočítávat. Možným způsobem řešení je zavést pro daný proces P koeficient k(P), kterým firma stanoví poměr mezi množstvím nákladů a množstvím času, jež si odpovídají. Jinými slovy: koeficient k(P) udává výši nákladů, kterou management firmy ohodnotil jednu časovou jednotku vykonávání procesu. Vynásobíme-li poté celkový průměrný čas procesu ET(P) koeficientem k(P), můžeme jej sečíst s celkovými průměrným náklady procesu TC(P), čímž získáme výši průměrných celkových výdajů (čas a náklady), které firma vynaloží na jedno vykonání procesu P. C (P) = k (P) . ET (P) + TC (P) (9) Výkonnost procesu V(P) se v obecném případě počítá jako poměr kvality procesu k vynaloženým výdajům. V případě procesů, kdy se na kvalitu pohlíží jako na binární veličinu definovanou následujícím vztahem: Q (P) = 0 pro proces P s nedostatečnou kvalitou, (10) Q (P) = 1 pro proces P s dostatečnou kvalitou, můžeme výkonnost firemního procesu definovat vztahem: V (P) = Q (P) / C (P) = Q (P) / [k (P) . ET (P) + TC (P)] (11) Alternativní možností je pohlížet na kvalitu procesu jako na spojitou veličinu nabývající hodnot z intervalu <0, 1>, kde nulou jsou opět ohodnoceny všechny procesy s nedostatečnou kvalitou. Kvalita ostatních procesů je pak přímo úměrně ohodnocena hodnotou větší než 0. Takto ohodnocenou kvalitu lze opět dosadit do vztahu (11), nicméně výsledné vyčíslení výkonnosti správního procesu, může být více ovlivněno subjektivním ohodnocením kvality, jež bylo při výpočtu použito. 10.5 Zdokonalování podnikových procesů Vytýčíme-li si jako cíl vybudování optimální struktury podnikových procesů (Business Processes), je zapotřebí si uvědomit, že každá organizace již své úkoly „nějakým“ způsobem plní, tedy v ní dochází k produkování primárních výstupů. Cesta k výkonnějším procesům 72 tedy v tomto případě vede skrze zdokonalování již existující procesní struktury. V tomto případě se nabízejí dvě základní možnosti: • Průběžné zdokonalování (CPI). • Radikální zdokonalování (BPR/BPRD). Průběžné zdokonalování (CPI - Countinous Process Improvement) je založené na nepřetržitém nacházení drobných zlepšení momentálně existujících procesů. Děje se tak na základě identifikace příležitostí ke zjednodušení v rámci stávajících toků práce a odhadu budoucích požadavků zákazníků, přičemž obvyklým cílem je dosáhnout průběžná přírůstková zlepšení v metodice, nástrojích a postupech. Obr. 10.4: Vývoj kvality procesu v čase při průběžném zdokonalování. Při CPI tedy nedochází ke vzniku nových primárních procesů, ale pouze ke zlepšení těch stávajících produkujících stále stejné produkty. Po určité době průběžného zlepšování se obvykle výkonnost procesů přiblíží maximu, jež lze v podmínkách firmy dosáhnout. Růst výkonu, který CPI přináší, se postupně začíná zpomalovat. V takovém okamžiku lze výraznějšího zvednutí výkonnosti firmy dosáhnout ještě pomocí metod radikálního zlepšování. Produkty, a tím i příslušné procesy mohou zastarávat. Může tak vzniknout situace, kdy je v rámci zdokonalování lepší začít znovu od začátku a vytvořit novou procesní strukturu (nebo alespoň její část) co nejlépe odpovídající nové situaci (tj. provést radikální zdokonalení procesů). V takovém případě je možné buď zvolit cestu znovu-vymýšlení procesu (BPRD – Business Process ReDesign) nebo přesměrování procesu (BPR – Business Process Reengeneering). Business Process ReDesign je metoda zlepšování, kdy je hlavní iniciativa orientována na výkonnost. Základní idea vychází z toho, že stávající výkonnost firmy je neadekvátní, a to jak vzhledem k vlastním možnostem, tak vzhledem k výkonnosti okolí. Cílem BPRD je znovu vytvořit procesy, které zlepší kvalitu poskytovaných služeb a zvýší produktivitu organizace. V případě Business Process Reengeneering (BPR) není hlavní iniciativa směřována přímo na výkonnost, jak je tomu v případě BPRD, ale hlavním objektem zájmu je výsledný produkt (služba nebo výrobek). Metoda BPR vychází z toho, že klíčové zdroje firmy jsou zbytečně zatěžovány sekundárními procesy. Řešení často spočívá v přenesení vedlejších procesů mimo firmu, čímž se zdůrazní primární procesy. Poté je možné rekonfigurovat zbylé procesy do podoby poskytující požadované produkty, a tím dosáhnout optimalizace nákladů a zvýšení přínosů. Q(P) t 73 Obr.10.5: Vývoj kvality procesu v čase při radikálním zdokonalování. 10.5.1 Kombinované zdokonalování procesů V praxi se zpravidla nesetkáme se zdokonalováním procesů výhradně jednou z výše uvedených metod, ale jde obvykle o vzájemnou kombinaci více způsobů. V situaci, kdy je předem řečeno, které procesy musejí být zachovány, lze použít metodu průběžného zdokonalování. Z metod radikálního zdokonalování se nabízí pouze metoda Business Process ReDesign, při jejímž použití se zpravidla nemění počet procesů, ani jejich výstupy. Při této metodě jsou sice stávající procesy rušeny a nahrazovány novými, leč produkujícími stejné výstupy. Metoda Business Process Reengeneering je výraznějším zásahem do procesní struktury organizace, při němž na rozdíl od Busines Process ReDesign dochází ke vzniku nových produktů, a tím i ke zcela novým procesům. Z tohoto pohledu tedy lze metody zdokonalování firemních procesů rozdělit na: • metody nevytvářející nové tyty produktů (CPI, BPRD), • metody vytvářející nové tyty produktů (BPR) Ke zdokonalování procesní struktury firmy může v libovolném okamžiku její existence docházet formou průběžného zdokonalování nebo metodou Business Process ReDesign. Business Process Reengeneering lze v naprosté většině procesních struktur realizovat spolu se zavedením nového typu produktu. V praxi pak zpravidla dochází ke kombinaci více metod zdokonalování procesů: Obr. 10.6: Vývoj kvality administrativního procesu v čase při kombinovaném zdokonalování. t Q(P) t BPRD BPR Q(P) BPR CPI CPI CPI CPI 74 11 Literatura 11.1 Použitá literatura Dobeš V., Kozičková Z., Vavřínek J. a kol : Manuál udržitelné spotřeby a výroby. 2008. [online], [cit.2008-12-20]. Dostupný na . EMAS III: COM(2008) 402/2. Proposal for a Regulation of the European parliament and of the Council on the voluntary participation by organisations in a Community eco-management and audit scheme (EMAS). 2008. [online], [cit. 2008-12-20]. Dostupný na . Horch J.W. Practical guide to software quality management. Boston: Artech House, 1996. 259 s. ISBN 0-89006-865-8. Hřebíček J.: Integrované systémy řízení, v Fiala A. a kol.: MANAGEMENT JAKOSTI s podporou norem ISO 9000:2000, Verlag Dashöfer Praha, 2000, 3/3. ISBN 80-86229-19-X. Hřebíček, J.: Obecné zásady řízení dokumentace, v Fiala A. a kol.: MANAGEMENT JAKOSTI s podporou norem ISO 9000:2000, Verlag Dashöfer Praha, 2000, 8/2. ISBN 80-86229-19-X . Hřebíček J.: Informační systémy, v Fiala A. a kol.: MANAGEMENT JAKOSTI s podporou norem ISO 9000:2000, Verlag Dashöfer Praha, 2001, 17/2. ISBN 80-86229-19-X. Hřebíček J., Ráček J.: Systémy integrovaného managementu. Elektronický učební text předmětu PA088, FI MU, 2002. [online], [cit. 2008-12-20]. Dostupný na: Kostiha F.: Bezpečnost informací. Ikaros [online]. 2006, roč. 10, č. 5. [online], [cit. 2008-12- 20]. Dostupný na: . Nenadál J. Základy managementu jakosti. Ostrava: VŠB TU, 2005. ISBN 80-248-0969-9. Nenadál J. a kol. : MODERNÍ MANAGEMENT JAKOSTI - Principy, postupy, metody. Management Press, 2008. ISBN 978-80-7261-186-7. Šebestová M., Sedláček M. Váňa, V.: Management služeb IT, komentované vydání souboru ISO/IEC/DIS 20000:2004, ČNI Praha, 2005. 66 s. Truneček J.: Systémy podnikového řízení ve společnosti znalostí. Učební texty pro předmět management změny. VŠE Praha, 1999, 183 s. ISBN 80-7079-083-0. Turban E., Meredith J.B.: Fundamentals of Management Science, Cambridge: Irwin, 1991. Veber J. a kolektiv: Řízení jakosti a ochrana spotřebitele. Grada: Praha, 2006. ISBN 978-80- 247-1782-1. Získal J.: Systémová analýza a modelování, 1. díl, PEF, ČZU v Praze, Credit, Praha, 1998. 11.2 Použité zdroje informací na Internetu http://www.npj.cz Národní informační středisko pro podporu jakosti. http://www.cenia.cz/__C12571B20041E945.nsf/$pid/MZPMSFGSFDTU Agentura EMAS Česká informační agentura životního prostředí. http://www.bozpinfo.cz/ Informační server ochrany zdraví a bezpečnosti při práci. http://www.csni.cz/ Český normalizační institut. http://www.mpsv.cz/ Ministerstvo práce a sociálních věcí. Bezpečnost práce. 75 http://www.ilo.org/ International Labor Organisation. Mezinárodní úmluvy týkající se bezpečnosti a ochrany zdraví při práci. http://www.iso.ch/iso/en/iso9000-14000/index.html International Organisation for Standardization. Normy ISO 9000-14000. http://www.wbcsd.ch/ World Business Council for Sustainable Development. 76 12 Seznam zkratek BOZP Bezpečnost a ochrana zdraví při práci BSI British Standardisation Institute – Britská normalizační instituce, vydavatel britských norem CCA Cause-Consequence Analysis – Analýza příčin a následků CL Check List – Metoda pro identifikaci zdrojů nebezpečí ČIA Český institut pro akreditaci ČSNI Český normalizační institut EIA Environmental Impact Assessment – Posuzování dopadů na životní prostředí EMAS Environmental Management and Audit Scheme – Akronym pro evropské nařízení o EMS EMS Environmental Management System – Systém environmentálního managementu/environmentální manažerský systém EN Označení evropských norem EOQ European Organization for Quality - Evropská organizace pro kvalitu EPR Extended Producers Responsibility – Rozšířená zodpovědnost výrobce ETA Event Tree Analysis – Analýza stromem událostí (metoda pro tvorbu scénářů) EU European Union - Evropská unie FMEA Failure Modes and Effect Analysis -???? FTA Fault Tree Analysis – Analýza stromem poruch (metoda pro tvorbu scénářů) GQM Global Quality Management – Alternativní pojem k integrovanému manažerskému systému HAZOP Hazard and Operability Study (Analýza nebezpečí a provozovatelnosti) – metoda pro tvorbu scénářů HRA Human Reliability Analysis – Analýza lidské spolehlivosti ILO International Labour Organisation - Mezinárodní organizace práce IPP Integrated Product Policy – Iintegrovaná výrobková politika IQNet The International Certifikation Network - Největší mezinárodní síť nejvýznamnějších národních certifikačních společností ISM Integrated Management System - Integrovaný systém managementu ISO International Organization for Standardization – Mezinárodní standardizační organizace, vydavatel mezinárodních norem ISO/DIS Draft of International Standard – Návrh ISO normy LCA Life Cycle Assessment – Posuzování životního cyklu výrobku MKP Malý a střední podnik podle statistické klasifikace EU (do 250 zaměstnanců) MOSAR Méthode Organisée et Systémique d´Analyse de Risques (Organised and Systematic Method of Risk Analysis) - Řízená a systematická metoda analýzy rizik MPA Metodický pokyn pro akreditaci, dokumenty vydávané ČIA NEHAP National Environment and Health Action Plan – Národní akční plán pro životní prostředí a zdraví 77 OHSAS Occupational Health and Safety System - Systémy managementu bezpečnosti a ochrany zdraví při práci PHA Preliminary Hazard Analysis – Předběžná analýza nebezpečí PJ Příručka jakosti QMS Quality Management System – systém managementu kvality/jakosti QS Normy USA, užívané v automobilovém průmyslu SGS, BVQI, DNV akreditované certifikační orgány pro QMS a EMS, s mezinárodní působností SMBOZP Systém managementu bezpečnosti a ochrany zdraví při práci SME Small and Medium Enterprise – Malý a střední podnik (MKP) podle statistické klasifikace EU (do 250 zaměstnanců) TQM Total Quality Management – Komplexní řízení jakosti VDA Německé normy užívané pro jakost v automobilovém průmyslu WHO World Health Organisation – Světová zdravotnická organizace WI WHAT-IF (co – kdyby) – Metoda identifikace a hodnocení rizik