Экспертиза: подводные камни СМК

Достаточно большое количество причин побуждает компании к разработке и внедрению системы менеджмента качества (СМК). Прежде всего, это основа для усовершенствования производственных процессов, понимания нужд и ожиданий заказчиков, обеспечения конкурентоспособности на внутреннем и внешнем рынках, обеспечения «прозрачности» процессов как для руководства компании, так и для заказчика. Мировой опыт доказывает, что внедрение СММ и CMMI позволяет улучшить структуру и

Все системы управления качеством объединены единым принципом

Существует достаточно большое количество систем управления качеством: ИСО9000, Capability Maturity Model (CMM, CMMI), EFQM, 6sigma и ряд других.

Каждая из этих систем имеет свои особенности, но все они объединяются единым принципом, который можно определить как «процессный» подход.

Такой подход означает, что вся производственная деятельность может быть представлена в виде совокупности процессов, каждый из которых имеет «точку входа» (входные данные и условия, необходимые для начала процесса), измеряемые цели, алгоритм достижения этих целей (четко определенная последовательность шагов и этапов, их описание и документирование), точку «выхода» (выходные данные; рабочие продукты, созданные в ходе выполнения процесса; условия, при которых процесс может рассматриваться как завершенный), ответственность всех участников процесса, взаимодействие между участниками процесса и другими заинтересованными лицами (руководство, заказчики, контролирующие органы и т.п.).

Каждая из перечисленных выше моделей представляет собой обобщение достигнутого в мире опыта по организации производственных процессов и обеспечению стабильного и предсказуемого качества производимых товаров и услуг.

Антон Дуков: СМК в каком-то виде есть у всех, главное - привести систему в порядок

 Антон Дуков
О взаимосвязи использования той или иной модели СМК в общей системе менеджмента промышленных предприятий и внедрения Корпоративных Информационных Систем (КИС) рассказал CNews.ru Антон Дуков, председатель совета директоров компании «МНПП Намип».

Антон Дуков: Надо заметить, что СМК в каком-то виде есть у всех. Главное - привести систему в порядок. Поэтому, если говорить о приоритетах - к какому из видов менеджмента обращаться в первую очередь, - то управленческо-проектный менеджмент я бы поставил во главу угла. Впрочем, вполне возможны и такие ситуации, когда только-только созданное предприятие одновременно развивает все направления менеджмента, строит такую систему управления, чтобы она удовлетворяла требованиям одной из моделей СМК. Тут же выбирают систему документооборота, управленческую систему, основываясь на стандартах ERP-, MRP- или CRM-систем. Это совершенно правильный подход. Но большинство - это все же предприятия «старой советской закалки», с устоявшимся подходом к менеджменту, вот с ними надо сугубо индивидуально работать, очень деликатно, чтобы своими действиями не разрушить уже существующие цепочки управления и не затормозить таким образом работу предприятия.

Интересно, что при выполнении наших первых проектов автоматизации ни слова о совершенствовании управления не произносилось, тем более о менеджменте качества. Но, по существу, наши решения по автоматизации уже тогда являлись слепком бизнес-процессов, существовавших на предприятии заказчика. Наше присутствие, безусловно, влияло на изменение сознания клиента, и в процессе доработки нашей системы реализовывались отдельные моменты, связанные с оптимизацией управления финансами, с упорядочиванием бухгалтерского учета, с электронным документооборотом. Поэтапно внедрялись элементы управленческого учета.

В те времена, когда мы осуществляли один из первых проектов - по автоматизации управления Атырауского нефтеперерабатывающего завода, - корпоративные информационные системы, пусть подсознательно, но все же отождествлялись у многих с передовыми системами менеджмента. Сейчас КИС стали естественной практикой развивающихся предприятий. Их совместное внедрение с системами менеджмента качества на основе стандартов ИСО 9000 - примета наших дней.

CNews.ru: Спасибо.

Выбор конкретной модели должен определяться бизнес-целями компании. Тем не менее, в настоящее время наиболее широкое распространение получила модель ИСО9000, потому что эта модель носит наиболее универсальный характер и в наибольшей степени способствует развитию «культуры качества», без которой достижение реальных результатов не представляется возможным.

Базовая модель и инструменты для совершенствования

Основываясь на опыте ряда ведущих мировых компаний в области информационных технологий, можно рекомендовать ИСО9000 как модель, в наибольшей степени обеспечивающую «культуру качества». Т.е. начинать надо с внедрения именно этой модели и совершенствовать систему управления качеством, внедряя Capability Maturity Model и затем 6sigma.

Мировым опытом доказано, что внедрение СММ и CMMI позволяет улучшить структуру и качество процессов (например, основные проблемы в программных разработках — это проблемы управления, а не технические проблемы), обеспечить стабильно высокое качество разработок и освоить процессы, которые могут служить основой для повышения конкурентоспособности и дальнейшего развития и расширения компании.

Методология CMMI позволяет сделать процессы управляемыми и предсказуемыми. СММ и CMMI предусматривают инфраструктуру, обеспечивающую поддержку проектирования. При достижении уже 3-го уровня зрелости резко ослабляется зависимость от индивидуальных особенностей конкретных исполнителей, а система менеджмента качества обеспечивается метрологической поддержкой. Ключевые практики СММ и CMMI являются «рецептом» улучшения действующих процессов и основой разработки новых процессов.

«Результаты текущего мониторинга состояния проектов в системе менеджмента качества удобно визуализировать, и у нас подобная система используется, — сообщил CNews.ru Тимур Аитов, директор по развитию бизнеса РБК СОФТ. — Действует она просто и очень наглядно, для оценки в ней использованы три градации цвета (красный — желтый — зеленый, по аналогии со светофором). По мере развития успешного проекта палитра отчета из красно-желтой, через желто-зеленую, постепенно все больше становиться зеленой».

В мировой практике процесс подтверждения соответствия действующей СМК требованиям соответствующей модели признан как сертификация. В этой связи необходимо обратить внимание на то, что термин «сертификация» имеет несколько значений:

Сергей Коновалов: На международном и внутреннем рынке по-разному востребованы различные модели качества

Сергей Коновалов 
О постановке в российских компаниях СМК и значении сертификации на соответствие стандартам ИСО9000 и СММ и CMMI в своем интервью CNews.ru рассказал Сергей Коновалов, директор по качеству РБК-СОФТ.

CNews.ru: Какое значение для работы российских ИТ-компаний на международном и внутреннем рынке имеет сертификация по стандартам ИСО9000 и СММ и CMMI?

Сергей Коновалов: Безусловно, при прочих равных условиях, компания, СМК которой сертифицирована на соответствие стандартам ИСО9000 или прошедшая ассессмент по СММ/CMMI, имеет маркетинговые преимущества перед компаниями, СМК которых не сертифицированы.

И отечественные и зарубежные покупатели ИТ-услуг и решений с уважением относятся к формальной оценке независимых и авторитетных сертифицирующих организаций. Однако на международном и внутреннем рынке по-разному востребованы различные модели качества. Внутреннему потребителю больше понятна, или точнее более известна модель ИСО9000, поэтому к ней и доверие выше. На международном ИТ-рынке выше котируются компании прошедшие углубленную оценку уровня зрелости процессов по модели CMM или CMMI.

CNews.ru: Насколько российскими ИТ-компаниями востребована сертификация по упомянутым стандартам?

Сергей Коновалов: Ответ на этот вопрос естественно следует из ответа на предыдущий. И мой личный опыт, и опыт моих коллег по «ИТ-шному цеху» говорит, что востребованность в сертификации, особенно на соответствие требованиям стандарта ISO9001:2000, сейчас возрастает. Стоит только взглянуть на динамику выдачи сертификатов TUV CERT, чтобы убедиться почти в экспоненциальном росте числа российских компаний и организаций, сертифицированных этим авторитетным международным сертифицирующим органом. У меня нет статистики, какую долю среди этих организаций занимают ИТ-компании. Но я убежден, что общая тенденция распространяется и на них.

CNews.ru: С какими препятствиями обычно сталкиваются отечественные ИТ-компании при подготовке к такой сертификации?

Сергей Коновалов: Выстраивание СМК изначально является затратным. Для прохождения сертификации тоже нужны определенные финансовые затраты. Естественное желание сэкономить порой приводит к тому, что выстроенная СМК лишь формально удовлетворяет требованиям стандарта и сертифицирующего органа, но в самой компании остается чужеродным затратным же механизмом. Эффективная и результативная с одной стороны и выгодная для бизнеса компании СМК может быть построена только кропотливым трудом квалифицированных специалистов, как в области основного производства, так и в области качества. А такое сочетание квалификаций не часто имеет место.

CNews.ru: Спасибо.

  • индивидуальные лица могут быть сертифицированы как специалисты в определенных областях, например, программист, тестировщик, оператор и т. д.;
  • конкретные продукты или услуги могут быть сертифицированы на соответствие требованиям распространяющихся на них стандартов, например, приборы, оборудование, материалы и т. д.;
  • наличие и соответствующее функционирование СМК может быть сертифицировано аккредитованным сертифицирующим органом с выпуском соответствующего сертификата.

Что дает компании наличие сертификата?

Нужна ли формальная сертификация, если система менеджмента качества создана, действует и дает реальные результаты? Что дает компании наличие сертификата? Сертификация является добровольным актом и связана с определенными затратами. Однако, сертификат дает компании реальные выгоды. Во-первых, это подтверждение независимой стороной (сертифицирующим органом) эффективности действующей в компании системы менеджмента качества. Во-вторых, это уверенность заказчика в правильном выборе исполнителя и/или соисполнителя. В-третьих, это подтверждение статуса компании. Нельзя не рассматривать и такое важное обстоятельство, как требование наличия сертификата в официальных тендерах.

Сертификация на соответствие стандарту ИСО 9001:2000 или любой другой модели качества относится только к СМК компании и не распространяется на выпускаемую ею продукцию и оказываемые услуги.

«Заказчика, конечно, интересует, прежде всего, результат: невысокая стоимость разработки и внедрения; он, как следствие, заинтересован и в повышении эффективности производственных процессов разработчика — прокомментировал ситуацию для CNews.ru Тимур Аитов, директор по развитию бизнеса РБК СОФТ. — Хотя в стандарте ISO 9001:2000 требование эффективности не фигурирует, но дополняющий его стандарт ISO 9004:2000 дает необходимые рекомендации по улучшению деятельности компании. В РБК СОФТ эти важные рекомендации нашли свое воплощение в разработанной нами системе бюджетирования нашей проектной деятельности, позволяющей легко анализировать затраты в ходе всего жизненного цикла внедряемого решения».

Процесс сертификации зависит от выбранной модели качества. Есть существенные различия в процессе сертификации на соответствие требованиям стандартов ИСО9000 и CMM/CMMI. Тем не менее, этот процесс имеет ряд существенных общих черт, которые заключаются в следующем:

  • Анализ документации. Цель этого анализа — определить, соответствует ли описание процессов требованиям выбранной модели качества.
  • Проверка того, что процессы осуществляются в соответствии с их описаниями, т.е. действующими в компании процедурами, рабочими инструкциями, формами и образцами. Эта проверка осуществляется проведением интервью с исполнителями, сбором и анализом документальных свидетельств.
  • Документирование обнаруженных свидетельств и определение степени соответствия/несоответствия действующей в компании системы менеджмента качества требованиям выбранной модели качества.
  • Оформление результатов сертификации.

Сам процесс сертификации можно представить в виде последовательности следующих четырех этапов.

1. Подготовительный (организационный) этап.

В ходе подготовке к сертификации рекомендуется:

  • Определить область распространения СМК и, соответственно, объем требуемой сертификации.
  • Организовать рабочую группу, к задачам которой можно отнести:
    • установить обязанности и ответственность за выполнение конкретных работ;
    • идентифицировать структуры (отделы, филиалы, подразделения), которые будут включены в процесс сертификации (важно отметить, что участие всех структур компании в процессе сертификации не является обязательным);
    • провести анализ расхождений (Gap analysis) между существующими в компании практиками и требованиями стандарта или модели качества;
    • установить бюджет;
    • определить временные рамки;
    • определить необходимость привлечения внешнего консультанта.
  • Обучить ключевых людей (это обучение может проводиться как силами компании, так и с привлечением внешних источников).
  • Начать внутренние аудиты качества и/или внутреннюю оценку процессов.
  • Выбрать сертифицирующий орган (для ИСО9000) или сертифицированного ассессора (для СММ и CMMI) и получить от него необходимые информационные материалы.

Практический совет. Объем и длительность подготовительного этапа в значительной мере определяются тщательностью проведения и результатами анализа расхождений (Gap analysis). При проведении такого анализа рекомендуется обратить особое внимание на типовые «ловушки»:
  • рабочие инструкции и информация об управлении качеством не адекватны для персонала, занятого производством, контролем и испытаниями;
  • отсутствуют процедуры и рабочие инструкции;
  • процедуры и рабочие инструкции не соблюдаются;
  • изменения, вносимые в результаты работ, не авторизованы;
  • отсутствует процедура по обращению с устаревшими документами;
  • отсутствует поддержка руководства по мониторингу корректирующих действий;
  • используемые документы устарели, не защищены от постороннего вмешательства, находятся в плохом физическом состоянии;
  • статистические методы используются некорректно.

2. Подготовка к сертификации.

На этом этапе рекомендуется:

  • определить политику компании в области качества, а также установить цели в области качества (как для компании в целом, так и для отдельных подразделений);
  • документировать существующие процессы (создать процедуры, описания процессов, рабочие инструкции, должностные инструкции, формы и образцы);
  • определить, какие статьи стандарта или какие области модели СММ/CMMI не применимы к деятельности компании (эти требования могут быть исключены из объема сертификации);
  • определить, в каких областях деятельности требуются улучшения;
  • разработать и внедрить процедуры, описания процессов, руководства и рабочие инструкции;
  • подготовить руководство по качеству (для ИСО 9000) и политики (для CMMI);
  • провести внутренний аудит СМК и анализ СМК руководством компании (для ИСО 9000) и внутренний ассессмент процессов (для CMMI);
  • на основании внутреннего аудита и/или внутреннего ассессмента и анализа руководством СМК разработать план корректирующих и предупреждающих действий и выполнить его;
  • обратиться в сертифицирующий орган (для ИСО 9000) или к сертифицированному ассессору (для CMMI) с просьбой о проведении сертификации/ассессмента;
  • осуществить требуемые платежи;
  • согласовать с сертифицирующим органом или с сертифицированным ассессором сроки проведения предварительного аудита качества или предварительного ассессмента (предварительный аудит/ассессмент проводится не с целью консультаций, а с целью определить, готова ли компания к проведению сертификации). Преимущество двухэтапной сертификации заключается не только в том, что в процессе предварительного ассессмента выявляются имеющиеся недостатки, но и в том, что персонал компании проходит своеобразную «тренировку», в ходе которой он лучше понимает требования стандарта или модели качества и вопросы внешнего ассессора.
  • провести «репетицию» (проанализировать все элементы сертификационного аудита/ассессмента и убедиться, что требования стандарта ИСО 9001:2000 или модели CMMI удовлетворены);
  • обучить персонал ответам на возможные вопросы независимого аудитора/сертифицированного ассессора;
  • провести предварительный аудит качества или ассессмент процессов и выполнить рекомендации независимого аудитора/сертифицированного ассессора по совершенствованию СМК и доработке документации;
  • обновить документацию (при необходимости).

3. Проведение сертификационного аудита/ассессмента.

Для успешного прохождения сертификационного аудита/ассессмента рекомендуется:

  • обеспечить условия (организовать рабочее место для независимого аудитора, согласовать программу аудита/ассессмента, обеспечить присутствие необходимого персонала и наличие требуемой документации и т. д.);
  • идентифицировать полученные в ходе аудита/ассессмента данные (недостатки и несоответствия);
  • определить меры по устранению обнаруженных недостатков и несоответствий;
  • представить в сертифицирующий орган или сертифицированному ассессору план корректирующих и предупреждающих действий;
  • получить сертификат (для ИСО 9000) или официальный отчет (для СММ/CMMI).

Важно отметить, что ни одна из моделей качества не предусматривает полной 100%-ной проверки. Сбор свидетельств осуществляется методом «выборки», это означает, что при последующих проверках могут быть обнаружены недостатки, не отмеченные предыдущими проверками.

Результаты сертификации по ИСО 9000 рассматриваются техническим комитетом сертифицирующего органа и оформляются в виде сертификата, который имеет дату выпуска, номер и срок действия.

Результаты ассессмента по CMM и CMMI оформляются в виде отчета и регистрируются в Software Engineering Institute (SEI). Сертификат официально не выпускается. Срок действия ассессмента по CMM и CMMI не ограничен.

4. Наблюдательные аудиты.

В отличие от СММ и CMMI, сертификационная система ИСО 9000 требует периодического наблюдения за СМК компании. Это наблюдение осуществляется в ходе проведения наблюдательных визитов. Периодичность проведения наблюдательных визитов в различных сертифицирующих органах различна (в большинстве случаев — один или два раза в год). Для успешного прохождения наблюдательных визитов необходимо:

  • поддерживать СМК для обеспечения соответствия стандарту;
  • уведомлять сертифицирующий орган об основных изменениях в СМК;
  • согласовать с сертифицирующим органом даты проведения наблюдательных визитов;
  • продолжать улучшения.

Одним из ключевых моментов процесса сертификации является выбор сертифицирующего органа или сертифицированного ассессора. В общем, при выборе сертифицирующего органа можно руководствоваться следующими соображениями:

  • Наличие аккредитации сертифицирующего органа. Если компания работает на международном рынке, важно убедиться в том, что сертифицирующий орган достаточно хорошо известен и соответствует признанным требованиям.
  • Наличие в сертифицирующем органе специалистов (аудиторов) с опытом в конкретной области техники.
  • Возможность предоставления сертифицирующим органом дополнительных услуг (учебные курсы, предварительные аудиты) в соответствии с запросами сертифицируемой компании.
  • Наличие у сертифицирующего органа установившейся репутации.
  • Наличие в сертифицирующем органе стабильного процесса обучения своих аудиторов.
  • Стоимость сертификационных услуг (стоимость регистрации, предварительного аудита, сертификационного аудита, наблюдательных визитов).

При выборе сертифицированного ассессора необходимо проверить, что он внесен в список сертифицированных ассессоров, публикуемый Software Engineering Institute (SEI), его идентификационный номер (доказательство того, что он действительно сертифицирован SEI), что он имеет опыт и квалификацию, позволяющие объективно оценивать процессы компании.

Практический совет. Очень важно правильно построить отношения с аудитором/ассессором. В этой связи можно дать несколько практических советов:
  • помните, что для аудитора/ассессора вы — заказчик;
  • эффективно и быстро реагируйте на запросы аудитора/ассессора;
  • демонстрируйте понимание ваших процессов, процедур, записей и данных;
  • подготовьтесь к встрече с аудитором/ассессором;
  • не ищите совета аудитора/ассессора, как исправить обнаруженные недостатки (аудиторы/ассессоры не обязаны оказывать консультационных услуг);
  • не пытайтесь руководить аудитором/ассессором и управлять процессом аудита/ассессмента;
  • не опасайтесь отвечать на вопрос «Я не знаю». Скажите, что вам требуется время на ответ, но пытайтесь найти ответ как можно скорее.

Сертификат, выпущенный по результатам сертификационного аудита по ИСО 9000, и отчет, выпущенный по результатам ассессмента в соответствии с СММ и CMMI, являются доказательством того, что в компании разработана, внедрена и успешно действует СМК и в этом аспекте сертификация может рассматриваться как важная веха на пути к всеобщему управлению качеством.

Семен Мильман