Stopień zaawansowania informatycznych systemów wspierających

Do 2002 roku w większości przypadków w firmach (patrz pkt.2.2) dominowała papierowa dokumentacja SZ J. Komputer (PC ) służył głównie do przechowywania źródłowej dokumentacji SZ J, jej aktualizacji i emisji „w papierowym wydaniu” , w całości lub w części (np. polityka jakości, księga jakości, procedury, instrukcje, itp.) [1]. Od 2003 zaczęły pojawiać się rozwiązania, w których dokumentacja S Z J w zdecydowanej większości funkcjonowała na PC-tach pracujących w sieci oraz pojedynczych PC. Przy drugim rozwiązaniu aktualizację przeprowadzano przy zastosowaniu dyskietek (w warunkach dużego terytorialnego rozmieszczenia obiektów firmy). Te rozwiązania stosowały głównie firmy-, recertyfikujące S Z J (PN - EN ISO 9001:1996 -> PN - EN ISO 9001:2001) oraz certyfikujące S Z J po raz pierwszy [1]. W latach 2004-2005 znacząco zwiększyło się zastosowanie oprogramowania specjalistycznego przeznaczonego do opracowywania i aktualizacji S Z J na etapie recertyfikacji i nowych certyfikacji. W bardzo małym stopniu dotyczy to małych firm.

Stan ten ilustruje tablica 3 ( w firmach jak w pkt. 2.2.a-f) :

2.2. Stan zastosowania informatycznego wsparcia SZJ na koniec 2005 roku

Tablica 3. Dominujące sposoby dokumentowania S Z J

L P Wyszczególnienie K M P

1 2 3 4 5

1. S Z J certyfikowany wg modułu H (pkt.2.2.a)

9 3

-2. S Z J ustanowione niecertyfikowane (pkt.2.2.b)

4 9 5

3. S Z J z wyłączeniami wg modułu D

(certyfikowane) (pkt.2.2.c) - ³

-4. S Z J z wyłączeniami wg modułu E

(certyfikowane) (pkt.2.2.d) - 2 2

5. Certyfikaty C E wg modułów: B+C, B+D,

B+E, B+F (pkt. 2.2.e) - - 2

Objaśnienia:

-K- zastosowanie oprogramowania specjalistycznego dla SZ J,

-M-zastosowanie oprogramowania Microsoft Word i Excel (rozwiązania sieciowe), -P- dokumentacja papierowa.

Zagadnienie szerzej merytorycznie omówiono w [4].

3. W yn ik i auditów

Określone ramy artykułu nie pozwalają na szczegółowe omawianie typowych odchyleń od normy [7] stwierdzanych podczas auditów SZJ. Ich analizy wskazują, że niezależnie od stosowanych sposobów opracowywania i aktualizacji dokumentacji S Z J (pkt.3.2) z reguły występują w nich mniejsze lub większe wewnętrzne niezgodności lub braki. Im większy jest stopień integracji dokumentacji S Z J z informatycznym systemem wspomagającym zarządzanie firmą, tym prawdopodobieństwo powstawania niezgodności wychwytywanych podczas auditów. Chodzi tutaj o efekt „wymuszenia” przez system IT wykonywania „operacji jakościowych” przewidzianych w S Z J [4],

W każdym systemie zarządzania bardzo ważną rolę odgrywa proces wewnętrznego komunikowania się na poziomie różnych szczebli i komórek organizacji oraz pracowników i przedstawicieli. Dotyczy to również systemów IT i SZJ.

W PN-EN ISO 9001:2001, pkt. 5.5.3 „Komunikacja wewnętrzna” :

„Najwyższe kierownictwo powinno zapewnić, że zostaną ustanowione właściwe procesy komunikacyjne w ramach organizacji oraz, że ma miejsce komunikacja w odpowiednim do skuteczności systemu zarządzania jakością” . Zatem norma wymaga zapewnienia komunikowania czyli wymiany informacji dotyczących zdarzeń jakościowych oraz funkcjonowania, skuteczności i efektywności systemu

173

zarządzania jakości pomiędzy odpowiednimi szczeblami firmy; zapewnienie wymiany informacji wiąże się z ustanowieniem sposobów komunikowania (stosowanie szablonowych rozwiązań nie zapewnia tutaj pożądanej skuteczności) [2], Analiza przeprowadzonych auditów wykazała, że największą ilość spośród stwierdzonych odchyleń i niezgodności z normą [7] stanowią te, które wynikają w występujących w S Z J nie w pełni skutecznych rozwiązań komunikacyjnych lub nieskutecznego nadzoru nad SZ J.

Do najczęściej wynikających z auditów niezgodności i odchyleń należą:

- brak zapisów aktualizujących procedury i instrukcje we wszystkich ich egzemplarzach i komputerach nie pracujących w sieci,

- niewykonywanie wszystkich założonych w S Z J kontrolnych sprawdzeń w poszczególnych procesach,

- brak jednolitych zapisów zmieniających wymagania klientów u wszystkich użytkowników dokumentacji S Z J (procedur, instrukcji) w procesie realizacji zamówień,

- używanie nieaktualnych dokumentacji technicznych i rysunków, - brak potwierdzeń wykonania sprawdzeń kontrolnych,

- niejednolite dane dot. podjętych działań zapobiegawczo - korygujących u wszystkich użytkowników dokumentacji SZJ,

- brak zapisów dot. wykonywania wszystkich operacji technologicznych w procesach,

- brak dostatecznej komunikacji dot. występujących odchyleń w procesach wytwórczych,

- brak części statusów kontrolnych .

Większość tych niezgodności jest możliwych do wyeliminowania poprzez doskonalenie systemów zarządzających IT i specjalistycznego oprogramowania dla dokumentowania S Z J lub stały nadzór (nie tylko okresowy lub wyrywkowy) dokumentacji SZ J, w szczególności w przypadku stosowania dokumentacji

„papierowej” ; również w zakresie komunikacji.

W tym miejscu ryzykownym by było formułowanie ogólnych wniosków dotyczących standardowych metod komunikowania się w firmach; muszą one być adekwatne dla indywidualnej firmy. Efektywność S Z J będzie mogła mieć miejsce wówczas, gdy będzie ona prowadzona pomiędzy przeszkolonymi, świadomymi i odpowiednio zmotywowanymi pracownikami [2],

Literatura

1. Brewczyńska-Florczyk E., Jegierska M., Bednarz A. - Od skraju przepaści do przedsiębiorstwa przyszłości. Materiały konferencyjne: Praktyczne aspekty zarządzania organizacją. ZETO M Katowice, Szczyrk 26-27.05.2003.

2. D illy P. - Proces komunikacji w systemie jakości w świetle wymagań normy ISO 9001:2000. - Seminarium . Z ET O M Katowice, 2001.

3. Gręzicki M. - Realizacja procesu rządowego zapewnienia jakości w przedsiębiorstwach zgodnie z wymaganiami NATO. Materiały konferencyjne:

Praktyczne aspekty zarządzania organizacją. ZETO M Katowice, Szczyrk 26- 27.05.2003.

4. Jasiorowski K., Nowak J.S., Jasiorowski R., - Wspomaganie systemów zarządzaniajakością (wg PN-EN ISO 9001:2001). PT I OG, Katowice 2005.

5. Kędzierski J. - Różne aspekty systemów jakości (wg Lloyd’s Register).

Wdrażanie systemów zarządzania jakością ISO 9000 w polskich fabrykach mebli. Ogólnopolska Izba Gospodarcza Producentów Mebli, Poznań 1997.

6. Miąsik A. - Pełnomocnik ds. systemów jakości w przedsiębiorstwie - kurs programowy. ZET O M Katowice i R W T U V Essen, Katowice 1998.

7. PN-EN ISO 9001:2001.

175

R O Z D Z IA Ł X

S Y S T E M Z A R Z Ą D Z A N IA JA K O Ś C IĄ Z G O D N Y Z IS O 9001 - O D N IE S IE N IE D O P R O D U C E N T Ó W O P R O G R A M O W A N IA

Tomasz G R E B E R

Wprowadzenie

Zarządzania jakością zatacza ostatnio coraz szersze kręgi i zaczynają się nim interesować branże, które kiedyś trudno byłoby o to podejrzewać. M ówi się już i pisze nie tylko o zarządzaniu jakością w typowych przedsiębiorstwach przemysłowych, ale też w firmach usługowych, w edukacji, w laboratoriach (m.in.

G LP, ISO /IEC 170025) czy w rolnictwie (m.in. wymagania G A P [1]). Systemy zgodne z normą ISO 9001 wdrażająjuż nawet jednostki administracji publicznej, w tym także komendy policji [2],

O ile sama norma ISO 90011 opisująca wymagania dotyczące systemu zarządzania jakością ma charakter uniwersalny i jest standardem identycznym na całym świecie, o tyle zwykle systemy budowane w oparciu o nią wyglądają bardzo różnie, ponieważ muszą być dostosowywane do konkretnych potrzeb danej organizacji. Trudno bowiem porównać bezpośrednio specyfikę działania i systemy zarządzania jakością huty i hotelu, urzędu miasta i kopalni czy biura projektowego i oczyszczalni ścieków. Jest to tym trudniejsze, że po nowelizacji norm ISO serii 9000 w roku 2000 kształt systemu jest wyraźnie uzależniony od specyfiki organizacji. Zrezygnowano ze sztywnego „dzielenia systemu” na dwadzieścia obszarów (co mało miejsce w dwóch pierwszych wydaniach norm ISO serii 9000) i wymuszania kilkunastu standardowych procedur. W obecnym wydaniu normy do niezbędnego minimum ograniczono liczbę obowiązkowych dokumentów, co powoduje, że w każdej firmie system wygląda inaczej i jest możliwość dobrego przystosowania go do jej konkretnych potrzeb.

Znaczenie wdrażania IS O 9001 u producentów oprogramowania

Samo wdrażanie systemu zarządzania jakością zgodnego z ISO 9001 jest działaniem polegającym na uporządkowaniu wszystkich procesów realizowanych w firmie i zapewnieniem, że wszystkie wymagania klienta zostaną uwzględnione w wytwarzanym dla niego wyrobie.

Jest to niezmiernie istotny cel wdrażania systemów zarządzania jakością i jego realizowanie jest poddawane gruntownemu zbadaniu w czasie auditu certyfikacyjnego poprzedzającego wystawienie certyfikatu na zgodność systemu z

1 Odpowiednikiem krajowym jest norma PN-EN ISO 9001:2001, Systemu zarządzania jakością- Wymagania, Polski Komitet Normalizacyjny, Warszawa 2001 r.

1 7 7

normą ISO 9001. Osiągnięcie tego celu jest ważne oczywiście we wszystkich rodzajach organizacji i działalności, ale nabiera szczególnego znaczenia w przypadku wyrobów spełniających dwa poniższe warunki:

• klient nie może przy zakupie jednoznacznie ocenić jakości wyrobu,

• konsekwencje zakupienia wyrobu, który nie spełnia wszystkich wymagań klienta, mogą być znaczące (kosztowne).

Bez wątpienia oba te warunki spełnione są w przypadku wyrobu, jakim jest oprogramowanie komputerowe. I to zarówno te produkowane na tzw. szeroki rynek (np. systemu operacyjne, programy antywirusowe), ale także te projektowane lub znacząco modyfikowane z uwzględnieniem konkretnych potrzeb danego klienta.

Z punktu widzenia klienta wydaje się więc niezmiernie ważne poczucie pewności, że dostawca oprogramowania którego wybrał, będzie potrafił spełnić jego wymagania. Tym bardziej, że często oprogramowanie to jest bardzo kosztowną inwestycją.

Najważniejsze elementy systemu

Tworzenie oprogramowania komputerowego jest o tyle specyficznym procesem, że graniczy często ze sztuką i jako takie jest bardzo trudne do ujęcia w jakiekolwiek sztywne procedury. Dlatego też przy obecnym kształcie normy ISO 9001 o wiele łatwiej wdraża się systemy zarządzania jakością w firmach zajmujących się taką działalnością, niż przy o wiele „sztywniejszej” poprzedniej wersji normy.

Przedstawiony na rys. 1 model wskazuje na kształt całego systemu zarządzania jakością, przy czym z punktu widzenia klienta szczególnie ważne są wymagania zawarte w rozdziale 7 normy „Realizacja wyrobu” , choć oczywiście realizacja tego wyrobu dla klienta nie byłaby możliwa bez zabezpieczenia odpowiednich zasobów (personelu, sprzętu) oraz analizowania tego co dzieje się w organizacji (rozdział „Pomiary, analiza i doskonalenie” ).

R e a liz a c ja w y ro bu Z a rz ą d z a n ie

za s o b a m i

C ią g le d o skon alen ie

O d p o w ie d zia ln o ś ć k iero w nictw a

►

P o m ia ry, a n a liza i d o skon alen ie

Rys. 1. Model systemu zarządzania jakością Źródło: PN-EN ISO 9001:2001

Nie wszystkie wymagania przedstawione w ISO 9001 są dla firm produkujących oprogramowanie równie istotne jak dla firm produkcyjnych. Można wręcz zaryzykować twierdzenie, że w przypadku tych dwóch rodzajów firm, przy budowie systemu zarządzania jakością, uwaga powinna być przyłożona do innych obszarów. Nie można oczywiście stwierdzić, że niektóre wymagania normy nie są ważne. Po prostu niektóre są bardziej istotne z punktu widzenia interesów firm i ich klientów.

W tabeli 1 przedstawiono porównanie punktów ciężkości poszczególnych wymagań ISO 9001 (pogrubioną linią odznaczono poszczególne rozdziały normy) dla wspomnianych już powyżej dwóch grup firm.

179

Tabela 1. Szczególnie ważne aspekty SZJ dla typowych firm produkcyjnych i firm

Zidentyfikować procesy oraz ich powiązania X

Monitorować i doskonalić procesy X

Opracować dokumentację SZJ w tym księgę jakości i odpowiednie procedury

Właściwie nadzorować dokumentację SZJ X x 15

Nadzorować zapisy dotyczące jakości X x 1)

Zakomunikowanie znaczenia spełnienia wymagań

Ustanowienie, zakomunikowanie i aktualizowanie polityki jakości i celów dotyczących jakości

Przeprowadzanie przeglądów zarządzania

Ustalenie odpowiedzialności i uprawnień X x 2)

Powołanie przedstawiciela

Zapewnienie komunikacji wewnętrznej

Ustalić wymagania dotyczące kompetencji personelu X x 2>

Utrzymywać zapisy dotyczące kompetencji personelu

Badać skuteczność działań zapewniających kompetencje X x 2>

Zapewnić odpowiednią infrastrukturę X

Zapewnić odpowiednie środowisko pracy X

Opisać procesy realizacji wyrobu (obsługi klienta) X

Określić sposób kontaktu z klientem x 5>

Planować i nadzorować projektowanie wyrobu X x 3)

Oceniać wyroby od dostawców zgodnie z zadanymi kryteriami

X

Oceniać dostawców X

Nadzorować realizację wyrobu (obsługę klienta)

Ustalić postępowanie z własnością klienta x 4>

Nadzorować wyposażenie do monitorowania i pomiarów

Badać zadowolenie Klientów określonymi metodami X

Prowadzić audity wewnętrzne

Monitorować zdolność procesów do spełniania wymagań

Badać jakość wytwarzanych wyrobów X x5)

Określić nadzór nad wyrobem niezgodnym X

Prowadzić działania korygujące i zapobiegawcze Źródło: opracowanie własne

Uzasadnienia:

1) nadzorowanie dokumentacji (procedur, instrukcji) i zapisów jest ważne w każdej organizacji, ale nabiera szczególnego znaczenia przy tworzeniu oprogramowania, chodzi tu głównie o dane dotyczące wymagań klienta, wyniki przeprowadzonych testów, zapisy związane z samym kodem

źródłowym programu; ważne jest tu żeby z jednej strony zapewnić odpowiednie standardy i spełnienie zgłoszonych wymagań klienta, a z drugie zapewnić ciągłość projektu opracowania oprogramowania niezależnie od fluktuacji pracowników;

2) ponieważ tak jak już napisano, tworzenie oprogramowania graniczy czasami ze sztuką, a bezpośrednie kontrolowanie twórcy w procesie powstawania dzieła może być niemożliwe, bezcelowe lub bardzo drogie, ważne jest zatem, żeby zawczasu zadbać o jakość wyrobu ustalając jakimi kompetencjami, a przede wszystkim doświadczeniem, powinni się legitymować pracownicy odpowiedzialni za dany projekt (tak, żeby ich umiejętności nie ograniczyły jakości, użyteczności czy innowacyjności oprogramowania);

3) z uwagi na warunki w jakich powstaje oprogramowanie ważne jest utrzymywanie ścisłych kontaktów z przyszłym klientem systemu, gdyż czasami w czasie samego procesu tworzenia oprogramowania rodzą się nowe pytania o specyfikę jego zastosowania; dążąc zgodnie z filozofią TQ M do zachwycenia klienta firma powinna nie tylko opierać się na sprecyzowanych przez klienta wymaganiach, ale wykorzystując swoje doświadczenie proponować mu nowe, ciekawe rozwiązania, co każdorazowo wymagać będzie oczywiście akceptacji klienta, dlatego działania tego typu powinny stać się także integralną częścią procesu projektowania;

4) jeżeli klient udostępnia swoje wewnętrzne dokumenty jako wzorce do opracowania np. fonnularzy elektronicznych, czy przekazuje części swojej bazy danych do wykorzystania w tworzonym oprogramowaniu bezwzględnie należy zapewnić ich bezpieczeństwo; wyrobem powierzonym są bowiem także informacje (często będące tajemnicą firmy i jej majątkiem);

5) badanie jakości wyrobów jest ważne zawsze, także w przypadku oprogramowania; w przypadku oprogramowania jest to o tyle trudne, że wady programu mogą wyjść dopiero po jego wdrożeniu i wiązać z nieprzewidzianymi działaniami użytkowników (na które program nie został zabezpieczony), specyficznej konfiguracji sieci/systemu, nieporadności programu w przypadku obciążenia dużą liczbą danych itp.;

można mnożyć przykłady wdrożeń, gdzie klienci ponosili znaczące straty w związku z nieodpowiednim dostosowaniem oprogramowania do ich specyficznych potrzeb.

Należy w tym miejscu wskazać na jeszcze jeden element, wymuszający niejako na producentach oprogramowania odpowiednie podejście do jakości. Z jednej strony chodzi oczywiście o uporządkowanie samej firmy i jej procesów, z drugiej jednak - o zapewnienie optymalnej dla klienta jakości wyrobu, którym jest dla niego kupowane oprogramowanie. To traktowanie oprogramowania jako ważnego czynnika mogącego wpływać na jakość procesów realizowanych u klientów firm tworzących oprogramowanie jest podkreślane m.in. w normach opisujących systemy zarządzania jakością. W normie ISO 9001:2000 takie

1 8 1

odniesienie znaleźć można m.in. w rozdziale 7.6 Nadzorowanie wyposażenia do monitorowania i pomiarów, gdy oprogramowanie stosowane jest do dokonywania pomiarów umożliwiających monitorowanie realizowanych procesów: ,Należy potwierdzić zdolność oprogramowania komputerowego stosowanego do monitorowania i pomiaru wyspecyfikowanych wymagań do jego zamierzonego zastosowania. Należy tego dokonać przed przystąpieniem do użytkowania oprogramowania i powtarzać, jeżeli to niezbędne” . Sięgając do normy ISO 13485:2003 Medical devices - Quality management systems - Requirements fo r regulatory purposes, w pewnym sensie odpowiednika ISO 9001 dla branży medycznej, znaleźć można informacje wskazujące wyraźnie, że oprogramowanie jest traktowane tak samo jak np. aparatura medyczna ze wszystkimi tego konsekwencjami. Należy nim odpowiednio zarządzać (rozdział 6.3 Zarządzanie infrastrukturą), należy je także poddawać walidacji przed wykorzystaniem (rozdział 7.5. Produkcja i dostarczanie usługi), także w kontekście jego jakości jako środka pomiarowego (rozdział 7.6).

Zakończenie

Często pojawiającym się pytaniem jest to, czy wdrażanie ISO 9001 jest potrzebne i czy w ogóle ma sens. Odpowiedź brzmi: nie jest potrzebne! Ale potrzebne jest wprowadzenie w każdej firmie działań, które po pierwsze ją uporządkują, a po drugie będą dla klienta gwarantem tego, że jego wymagania zostaną spełnione. Po co więc wyważać otwarte drzwi wymyślając nowe rozwiązania, skoro istnieje uznane już na całym świecie ISO 9001?

Podobny dylemat pojawia się, gdy mówimy o doskonaleniu firmy.

Ostatnio bardzo duże uznanie zdobywa podejście Six Sigma, dzięki któremu firmy potrafią zaoszczędzić setki milionów dolarów rocznie usuwając przyczyny identyfikowanych problemów. Samo Six Sigma nie wnosi nic nowego do sposobu radzenia sobie ze złą jakością, ale przez to że niesie za sobą podejście uporządkowane, dobrze przemyślane (m.in. cykl D M A IC ) po prostu działa.

Warto więc chyba opierając się na sprawdzonym i uznanym wzorcu przemyśleć zbudowanie systemu zarządzania jakością opartego o ISO 9001 w każdej firmie, bez względu na to, czym się ona zajmuje.

Bibliografia

1. Berdowski J.B ., GAP - Dobra Praktyka Rolnicza -je d e n z wymogów UE, Zarządzanie Jakością 2006 r., nr 2

2. Bugała M., Wachowicz T., ISO 9001:2000 w Komendzie Wojewódzkiej Policji w Krakowie, Zarządzanie Jakością 2006 r., nr 1

R O Z D Z IA Ł X I

W dokumencie Bezpieczeństwo systemów informatycznych (Stron 174-185)