ISO 20000: Сертифицироваться — не сертифицироваться...
Многие слышали о стандарте ISO 20000, но этого явно недостаточно для того, чтобы принять взвешенное и аргументированное решение о том, насколько он важен именно для вас. Данная статья призвана помочь определиться с решением.
Прежде всего — что такое ISO 20000?
Это стандарт, определяющий требования к системе управления предприятием, основная сфера деятельности которого — оказание ИТ-услуг. В значительной степени ISO 20000 является отражением методологии ITIL, целью которой является обеспечение нужного качества ИТ-услуг, при оптимальных затратах, и непосредственно содержит целый ряд основополагающих рекомендаций по построению системы менеджмента в ИТ-структурах.
Автор: Павел Моисеев, компания «Онланта».
Данный стандарт отнюдь не является вещью в себе – он связан с другими стандартами обеспечения качества, иногда его даже называют «ISO 9001 для сервис-провайдеров». Но это не единственная связь ISO 20000 с другими стандартами – в нём также отражены некоторые из требований стандарта ISO 27001, который регламентирует требования к информационной безопасности, что позволяет компоновать требования при создании Интегрированной Системы управления и реализовывать их в меньшем количестве процессов.
Необходимо также отметить, что стандарт ISO 20000 обладает не только «связями» с другими нормативными документами, но и внутренней логической структурой, что не позволяет его свести просто к набору требований. Поэтому наиболее типичная ошибка при восприятии этого стандарта заключается в том, что он сводится к списку «условий», которые необходимо выполнить. В результате такого подхода построенная «система» будет являться не более чем набором функций отдельных процессов. При этом каждый процесс рассматривается «сам по себе», что препятствует созданию единой системы управления, обладающей устойчивостью и способностью к самокоррекции.
Внимательный читатель наверняка обратил внимание на оговорку «для сервис-провайдеров» и уже задался вопросом – зачем ему сведения о том, чем он не занимается сейчас и не планирует заниматься в обозримом будущем. Ответ на этот вопрос мы дадим чуть позже, а пока обсудим, что он даёт сервис-провайдеру, тем более что соответствие ему не является обязательным.
Пожалуй, главное преимущество, которое получает компания сервис-провайдер, соответствующая требованиям стандарта ISO 20000 – это уверенность перед лицом заказчика любого уровня, в момент, когда задаётся один из главных вопросов: «А почему вы считаете, что способны выполнить наш проект?»
Заказчики же, зачастую указывают в конкурсных требованиях наличие у сервис-провайдера сертификата соответствия стандарту ISO 20000, чтобы уже на этом этапе отсеять компании с явно недостаточными ресурсами и квалификацией.
Наконец, и заказчику, и сервис-провайдеру единое понимание стандарта и соответствие ему позволяет говорить друг с другом на общем языке и оптимальным образом организовать исполнение контрактных обязательств.
Взгляд со стороны заказчика
Теперь, когда мы познакомились с преимуществами, которые даёт стандарт ISO 20000, пора выяснить, что же именно необходимо, чтобы ему соответствовать, и на что именно заказчику надо обратить внимание, чтобы убедиться, что процессы управления услугами сервис-провайдера действительно соответствуют стандарту.
Оценка соответствия системы управления стандарту проводится с помощью аудиторских проверок, которые, как и в любом аудите, являются периодическими и ежегодными. Срок оценки весьма велик, и потому компания, которая строит систему управления формально, вполне может выделить определённые ресурсы (специальных сотрудников в штате), которые будут использоваться непосредственно для подготовки к каждому последующему аудиту. В результате, несмотря на успешное прохождение аудитов, по факту чаще всего система не будет работать.
Абсолютный минимум того, что должен сделать заказчик, желающий оценить работоспособность системы, предлагаемой сервис-провайдером – это оценить область применения системы менеджмента и понять, те ли это услуги, которые он планирует отдать ему на аутсорсинг. Иногда случается так, что контракт заключается на «облачные услуги», а область применения системы менеджмента – приём обращений службой Call-центра.
Более серьёзная проверка заключается в том, чтобы запросить у сервис-провайдера весь набор документов и записей по оказываемой услуге. В случае действительно работающей системы такие документы непременно будут в наличии – это и планы улучшения оказываемых услуг (SIP), и отчёты по удовлетворенности пользователей и анализ инцидентов и изменений по услуге, а также оценка доступности услуг.
Взгляд со стороны сервис-провайдера
Теперь посмотрим со стороны сервис-провайдера, желающего получить сертификат соответствия стандарту. Как уже говорилось ранее – процедура сертификации занимает достаточно длительное время и проводится в несколько этапов.
Начинается всё обычно с того, что компания, самостоятельно или с привлечением сторонних консультантов, готовит набор документов, который, по её мнению, будет достаточным для выхода на сертификацию. После этого обычно приглашается компания – орган по сертификации, которая проводит так называемый «предварительный аудит». Цель этой процедуры – определить все недостатки системы, которые помешают компании удачно пройти сертификацию.
Полный перечень выявленных при аудите недостатков передаётся компании в соответствующем отчёте. После этого недостатки устраняются и проводится новый «предварительный аудит». В теории, количество подобных предсертификационных аудитов неограниченно, но на практике оно обычно не превышает двух-трёх.
В результате компания выходит на сертификацию, которая проходит в два этапа. Первый этап сертификационного аудита заключается в проверке документации — стандарт требует обязательное наличие определённого пакета документов системы управления. На втором этапе проверяются записи процессов системы, которые подтверждают её реальную работоспособность, а также то, что процессы существуют не только на бумаге. Подобная оценка проводится по всем процессам, которые описаны в стандарте.
В случае, если компания проходит оба этапа без выявления значительного несоответствия (что означает, что какой-либо отдельный процесс или система в целом имеет существенные расхождения с требованиями стандарта ISO 20000), она получает сертификат соответствия.
Но на этом процесс сертификации отнюдь не завершается – в следующие три года аудиторы будут проверять отдельные процессы по определённому принципу. В результате этого длительного процесса система предоставления услуг будет проверена полностью, и в конце третьего аудиторского визита, будет проведён стратегический анализ системы. Этот стратегический анализ завершает трёхлетний цикл ресертификации.
«А дальше?», спросите вы
Дальнейшая деятельность по сопровождению системы заключается в исполнении принятых компанией регламентов и возможной оптимизации процессов. Трёхлетний цикл повторяется, однако система управления редко остаётся в неизменном состоянии долгий срок. Возможных событий, которые могут вывести систему из состояния равновесия и потребовать серьёзных доработок масса: изменения законодательства, существенные изменения условий ведения бизнеса, изменение модели предоставления услуг, расширение области применения системы и многое-многое другое.
Успешного вам внедрения системы управления предприятием и прохождения сертификации по ISO 20000!
В Стандарте ISO 20000-1:2011 область применения системы менеджмента определяется по названию подразделения организации, предоставляющего услуги, и по типу предоставляемых услуг. Все реализованные процессы на аудите проверяются только в разрезе зафиксированной области применения.
Ссылка на источник www.computerra.ru/cio/2265