27 августа 2010 г.

Отвечая на вопрос, вынесенный в заголовок, хочется сказать, что причин для проведения международной сертификации систем управления компании сервис-провайдера может быть много. Это и требования рынка, и желание уменьшить риски для этого самого бизнеса, и желание сократить издержки при предоставлении услуг, и обычное желание получить преимущество в тендере или конкурсе.

Давайте рассмотрим четыре международных стандарта построения систем управления предприятием, области их применения, а также степень актуальности этих стандартов для сервис-провайдеров и производственных компаний в российских условиях.

Стандарт ISO 9001. Этот наиболее распространенный в России стандарт фиксирует требования по созданию, внедрению и развитию Системы Менеджмента Качества. В России огромное количество компаний прошло сертификацию по данному стандарту. На мой взгляд, связано это с тем, что рынок «производства» в России намного обгоняет рынок «услуг», как по объемам, так и по количеству предприятий.

В случае создания СМК, используя уже существующие на предприятии практики, ее реализация существенно облегчается.

Производственные компании с существующими отделами контроля качества, в которых вся выпускаемая продукция проверяется, а методики этой проверки формализованы, раньше остальных могут переходить к построению системы менеджмента качества, а затраты на реализацию данной системы будут ниже.

Бывает и другой вариант. В последнее время многие российские компании заказывают консалтинговый проект, целью которого является создание СМК. Привлеченные специалисты с нуля готовят систему к каждой последующей сертификации, в результате чего компания получает сертификат соответствия и неработающую на деле систему.

В связи с большим количеством сертификаций, и что более важно, систем, «купленных» для сертификаций, данный стандарт потерял свою привлекательность и ценность для России. Примеров Вы можете найти массу - стоит лишь зайти на любой поисковик и написать «ISO 9001». Причем если рассматривать российский стандарт-аналог — ГОСТ Р ИСО 9001-2008, то ценность его еще более сомнительна нежели у его «международного предка».

Это стало одной из причин, по которым компания ОНЛАНТА отказалась разрабатывать СМК в соответствии со стандартом ISO 9001.

Стандарт ISO 27001. Данным стандартом определяются требования к Системе Управления Информационной Безопасностью (СУИБ), предназначенной для обеспечения выбора средств защиты, соразмерно ценности активов. На территории России сертифицировано около 20 компаний. Сложность создания систем управления информационной безопасностью (СУИБ) заключается в необходимости иметь профессиональные кадры, владеющие методологией учета рисков и имеющие практические навыки применения данной методологии.

Стандарт предназначен в большей степени для компаний, которым соответствие высоким требованиям ИБ является основным требованием бизнеса. К таким направлениям бизнеса относятся в первую очередь банки, телеком и сервис-провайдеры.

Ценность сертификата для сервис-провайдера заключается в самой структуре бизнеса ИТ-аутсорсинга. Ведь передача любых функций внутренний службы ИТ на внешнего сервис-провайдера автоматически увеличивает риски, связанные с информационной безопасностью. Таким образом, подтвержденный сертификатом соответствия опыт работы сервис-провайдера по управлению ИБ позволяет реализовать все требования заказчика услуг и является первоначальным требованием при начале переговоров о переходе на аутсорсинг.

Понимая всю серьезность ситуации, компания «ОНЛАНТА» реализовала и сертифицировала систему управления информационной безопасности через год после своего выхода на рынок.

Стандарт ISO 20000. Стандарт предъявляет требования к системам управления ИТ-сервисами (СУИС) и служит для реализации лучших практик в части оказания ИТ-услуг, сведенных в единую систему управления. Всего 11 компаний на территории России сертифицированы на соответствие данному стандарту на момент написания статьи. Многие компании заявляли о своем желании пройти сертификацию, но заявления так и остались невыполненными. Связано это с тем, что стандарт предъявляет комплексные требования в части зрелости процессов ИТ, что для большинства российских компаний пока слабореализуемо.

Стандарт ISO 20000 иногда называют «ISO 9001» для сервис-провайдеров», в связи его направленностью на ИТ-услуги. Система управления ИТ-сервисами формируется в соответствии с каталогом услуг и опирается на реализованную модель управления при предоставлении услуг (с момента появления услуги в портфеле и вплоть до вывода ее из эксплуатации). Данное заявление имеет отношение ко всему жизненному циклу услуги: созданию, расчета стоимости, предоставления, бюджетирования, формирования параметров доступности и непрерывности услуги, и иных видов деятельности. Предоставлять услуги на таком уровне умеют лишь крупные внутренние службы ИТ и не менее крупные сервис-провайдеры.

Ценность сертификата в данном случае заключается в подтверждении того, что сервис-провайдер, забрав часть непрофильных функций, гарантировано переведет их под свое управление без потери качества на этапе тестового предоставления услуг и улучшит качество предоставления на этапе «продуктива». Происходит это за счет того, что сервис-провайдер, в соответствии с требованиями ISO 20000, постоянно контролирует и улучшает параметры предоставляемых услуг. Так, во многих сервис-провайдерах работают специально выделенные подразделения, занимающиеся данной задачей.

Понимая необходимость соответствия СУИС компании требованиям международного стандарта, компания ОНЛАНТА прошла сертификационый аудит компанией BSI и получила сертификат соответствия стандарту ISO 20000.

Стандарт BS 25999. Стандарт управления непрерывностью бизнеса (BCM) направлен на поддержание бесперебойной деятельности в случае возникновения чрезвычайных ситуаций. В России нет ни одной компании, которая бы имела сертификат соответствия системы управления непрерывности бизнеса стандарту BS 25999. Связано это с необходимостью иметь высококвалифицированный персонал, а также заручиться поддержкой руководства на достаточно серьезные затраты для внедрения системы.

Несмотря на отсутствие внедрений, ценность сертификата понятна. В случае возникновения ситуаций, которые могут привести к полной остановке бизнеса, в компании должны быть созданы процедуры, которые позволят поддерживать основные бизнес-процессы компании. Кроме этого, безусловно понятного всем факта, есть еще и другая причина. Компания на постоянной основе отслеживает риски возникновения подобного рода ситуаций и противодействует соответствующим угрозам. В случае с сервис-провайдером, наличие сертификата позволяет заказчикам продолжать получать услуги в случае чрезвычайной ситуации.

Руководство сервис-провайдера должно ясно понимать для чего внедряется и сертифицируется та или иная система управления . В соответствии с этими ожиданиями и выбирается метод получения сертификата: построение работоспособной системы или построение системы только для получения сертификата, т. е. - «чтобы он был».

Первый метод сложнее и дольше, второй — быстрее, но за ним ничего не стоит.

Заказчику же при выборе сервис-провайдера хотелось бы посоветовать не только проверить наличие сертификатов, но и попросить потенциального исполнителя продемонстрировать систему управления «в рабочей среде» в ходе референс-визита.

Компания Онланта открыта для общения и всегда рада встрече с Вами!