ISO 9001 в ИТ компании


    Сейчас редко найдешь среднюю или большую ИТ компанию, не имеющую ISO 9001 сертификата.
    Тем не менее, я считаю, что в ближайшей перспективе ISO 9001 умрет для ИТ мира. Почему?
    Попытаюсь обосновать.


    В чем же проблема?


    Люди, занимающиеся практическим внедрением ISO 9001 в ИТ компании, неизменно задаются интересными вопросами. Например — а что же это такое за «управление несоответствующим продуктом» (см. главу 8.3 стандарта).
    И зачем же так яростно отслеживать «процесс закупок» (7.4). Какие еще могут быть закупки в ИТ компании? Правильный ответ — рабочие столы и лаптопы:)

    Все просто. ISO 9001 – стандарт, прежде всего предназначенный для производственных компаний. Молочный завод к примеру. Или фабрика по пошиву одежды. Представьте себя руководителем этих предриятий – и вопросы о рекламациях и закупках сразу же становятся весьма актуальными:)

    Конечно же, ISO 9001 – универсален. С его помощью можно построить Систему Менеджмента Качества (Quality Management System) где угодно. У нас в стране (Белоруссия) даже все образовательные институты принудили к ISO 9001 сертификации.
    Вопрос лишь в применимости и эффективности такой сертификации.

    А ведь существуют весьма достойные конкуренты ISO 9001 для ИТ области. Основным из них мне видится CMMI — Capability Maturity Model Integration.
    CMMI – расширяется, улучшается. Недавно вышло расширение на сервисную часть ИТ бизнеса. По сути – конкурент ISO 20000, и весьма серьезный. В обзорах CMMI-SVC v1.3 побеждает ISO 20000.

    Сравнение ISO 9001 и CMMI


    Определение

    ISO 9001 — cтандарт, разработанный Международной организацией по стандартизации ( International Organization for Standardization, ISO)

    CMMI — методология, или процессный подход, разработанный Software Engineering Institute (SEI), в основном профессионалами в области ИТ.

    Стандарт – это набор требований достаточно высокого уровня. Методология – набор подходов, методик – более практичный уровень.
    ISO – огромная организация, более 200 стран, десятки функциональных направлений. Естественно, для таких объемов необходим жесткий формализм, из-за которого стандарты разрабатываются и затем изменяются о-очень долго.
    Что касается SEI, то это, по сути, исследовательский центр на базе американского института. Тут много амбиций, денег и соответственно выход более живой.

    Схема

    ISO 9001 представляет собой набор требований высокого уровня. Вот небезысвестная картинка:

    Картинка – весьма распостраненная. Но что она на практике означает вам расскажут лишь немногие избранные.

    В CMMI – список процессных областей должен быть знаком любому ПМ или прокаченному девелоперу.
    Итак, CMMI представляет собой фреймворк специализированных best practices из домена Software and Service Development. Всего 5 уровней, на каждом последующем добавляется новая Process Area.


    Объем

    ISO 9001 – 33 странички лаконичного текста. Общие фразы, описание обобщенных функций существующих в любой организации. Например, управление ресурсами, ответственность руководства и тд.
    CMMI — более 700 страниц, три раздела (CMMI-DEV, CMMI-SVC и CMMI-ACQ)
    Подходит для ИТ организаций. Применимость к молочным заводам затруднительна:)
    Таким образом, в ISO имеем краткий набор принципов для любой организации. CMMI – детальные практические методы для ИТ сферы.

    Внедрение

    Внедрение ISO 9001 займет 6-8 месяцев для средней организации в 100-300 сотрудников.
    Субъективно, стандарт легче и дешевле внедрить чем CMMI.
    Внедрение CMMI займет 8-12 месяцев для подобной организации (набора проектов) на уровень 3.
    Внедрять более сложно по сравнению с ISO 9001. Дороже, но как-то более удобно.

    Сертификация

    У ISO 9001 сертификация однобитная – то бишь либо сертифицировался, либо нет, без указания уровня организации.
    Далее, раз в год – подтверждающие аудиты. Каждые 3 года – полная ре-сертификация.
    Многие критикуют ISO 9001 за отсутствие уровней зрелости. Т.е. все находятся в одинаковом положении – что продвинутая компания с хорошими процессами, что начинающий ИП без процессов.
    В CMMI же открывается большой простор для комбинаций по сертифицированию, и дальнейшему улучшению.

    CMMI применяет 5-ти уровневую модель зрелости. Можно сертифицироваться на любой из 5-ти уровней (ну кроме первого; также не слышал чтобы на второй сертифицировались – обычно начинают с 3-го).
    К тому же, можно выбрать различные способы оценки уровня.


    Вывод?

    Что же, мне кажется преимущества CMMI и недостатки ISO 9001 для ИТ компании очевидны.

    Но не все так просто.

    ISO 9001 не сдается


    В каком то смысле, клан ISO 9001 пытается бороться, создает свои расширения для ИТ области. В частности, http://www.tickitplus.org/
    Также, существует целая пачка ISO стандартов в помощь ISO 9001 для покорения ИТ мира:
    ISO 10005:2005 Quality management – Guidelines for quality plans
    ISO 10006:2003 Quality management – Guidelines for quality management in projects
    ISO 10007:2003 Quality management – Guidelines for configuration management

    Также имеются специальные ISO стандарты для ИТ:
    ISO/IEC 12207 Software Lifecycle Processes
    ISO/IEC 15288 Life Cycle Management – System Life Cycle Processes
    ISO/IEC 15504 Software Process Improvement Capability Determination (больше известен как SPICE)

    Этот список не претендует на полноту. В недрах ISO существуют десятки, если не сотни документов. И у всех одна и та же проблема – о них никто не знает, или знает узкий круг специалистов.
    Также, немаловажное ограничение, за все эти документы необходимо платить (в отличие от CMMI документации, MSF, RUP и тд).
    И кстати, я ни разу не слышал, чтобы кто-либо покупал их. По крайней мере в среде «из русских».

    Но речь вообще то об ISO 9001.

    Так почему же ISO 9001 до сих пор жив в ИТ среде?



    Основная причина для сертификации средней ИТ компании на ISO 9001 – историческая. Заказчики хотели иметь уверенность в том, что их заказ будет делаться хотя бы не ниже определенного уровня.
    И ISO 9001 гарантировал это. Заказчики видели(слышали) результат внедрения ISO 9001 в других областях, и вполне справедливо предполагали что сработает и в ИТ области.
    Все так, но прошло время, ИТ мир изменился, появились новые модели и приемы. Появился CMMI, Agile и др.
    Сейчас ИТ компании сертифицируются на ISO 9001 в подавляющем числе только лишь из-за давления заказчика – чтобы тендер выйграть и т.п.

    Что будет дальше?


    Пройдет время, и заказчик узнает (осознает), что нужно требовать более правильные вещи от своих исполнителей. Этот процесс невозможно остановить. Интернет делает свое дело. Все больше ИТ контор кладут на полку формализм ISO 9001 (справедливости ради нужно сказать, что некоторые конторы никогда и не доставали с полки ISO 9001:). И все больше ИТ контор внедряют специализированные методологии, стандарты и практики.

    Также, процесс идет и со стороны самих ИТ компаний. К примеру, в нашей фирме мы прорабатываем материалы для заказчика, в которых рассказываем о преимуществах CMMI и о том, что ISO 9001 ему не нужен. Т.е. ИТ компания может и должна влиять на требования заказчика, особенно в области процессов, способа разработки и тд.

    Итак, 10-15 лет, и ISO 9001 для ИТ мира умрет. Или переродится в нечто сверх-новое. Но не верится:)
    Конечно же, это мнение лично мое, на истину в последней инстанции не претендует.

    Неужто этот ISO 9001 так отстоен?


    Имеет ли все же ISO 9001 смысл для ИТ компании?
    В определенных условиях – да.
    Для небольшой компании с плохими процессами (или с отсутствующими процессами).
    Внедрение ISO 9001 поможет ей установить простейшие здравые процессы, отслеживать и улучшать их. Внешняя сертификация может и не потребоваться – ведь достаточно просто внедрить требования стандрарта. Но все же лучше сертифицироваться – цена небольшая, а держит в тонусе неплохо.

    Но если в компании уже существует неплохая система процессов – то обращаться к ISO 9001 не имеет смысла. Лучше взять что-либо ИТ заточенное: CMMI для серьезных проектов, Agile для попроще и тд.

    Буду рад комментариям и обсуждению.

    Ссылки


    Официальный текст ISO 9001, есть также более удобный вариант.
    CMMI

    PS пожилой качок на фотке — весьма уважаемый бодибилдер Ray Moon. Ему уже за 80, просьба не надмеваться над ним. Впрочем, как и над ISO 9001.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 20

      –1
      Мне кажется, что скоро и CMMI умрёт а будет сплошной Agile.
      После того как Agile начнёт заходиться, останется Lean Startups, c обычным циклом:
      … Build -> Learn -> Measure -> Build -> Learn…
      До здравствует Programmer Anarchy! :)
        0
        Про связку Agile и CMMI много уже написано. Даже на сайте CMMI есть интересный отчет на эту тему.

        Вот Lean и CMMI — более прикольная тема, свежая скажем так:)
        Суть Lean — в оптимизации процессов. Т.е. чтобы примерть Lean, нужно иметь какие-то процессы (которые потом и будем улучшать).
        А CMMI — работает «с нуля». Пришел, и начал строить процессы по управлению требованиями, внедрять практики проектного управления и тд.
        И таки после внедрения чего-либо из CMMI — уже можно использовать Lean.
        Позволю себе провести такую аналогию — Lean относится и помогает CMMI также как GTD — к управлению проектами.
        +2
        Ни разу не видел, прямого, категоричного следования данному стандарту. В ISO 9001 описаны лишь требования о наличии средств мониторинга и контроля, и каждая компания адаптирует данные стандарты исходя из своей специфики. Основное требование это мониторинг, и каждый его реализует по-своему.
        Возможно я не имел дело с лицензированием на соответствие данным стандартам, но, я не вижу проблемы. В IT-сфере есть услуги, а на выходе есть информационный продукт, который нужно отслеживать, сравнивать с тем, что запланировано и с тем, чего требует потребитель, все как везде. Прочитав статью, и затем проглядев еще раз так и не увидел проблему, много чего выделенно, но о чем именно речь, в чем проблема?
          0
          Конечно, мониторинг занимает важное место в ISO 9001, но далеко не основное.
          Требований в стандарте много, и по большому счету, все они «основные». Менеджмент ресурсов, проектирование и разработка, постоянное улучшение — все это требования, и тоже важные.

          По поводу проблемы. В ИТ продукт присутствует, как и на швейной фабрике. Но подходы к производству — совершенно разные. Особенно в области ресурсов. Не нужно для ИТ делать закупки. А для швейной фабрики — это жизненно важный процесс. Стандарт же «тупо» требует, чтобы был организован «Процесс закупки», с верификацией, со списками саплайеров. Чтобы грамотно заимплементить (просто говоря — обойти) эти требования в ИТ — нужно иметь правильный опыт.
          А чего стоит требование о «калибровке» (7.6) — «измерительное оборудование должно быть откалибровано». Помнится, лет 7 назад, во время аудита, ядреные тети-аудиторы из национального института по стандартизации недоуменно слушали мои речи, что в ИТ нет калибровки. Пришлось придумывать для них некие абстрактные тесты по проверке правильности запуска (типа калибровка) сервера TestDirector, JIRA и еще чего то.
          Теперь проблемы видны?:)
            0
            Ну, если честно, все эти проблемы можно обойти. Но только имея соответствующий опыт.

            Кажется, этот принцип универсальный. Любую проблему можно решить, вопрос опыта:)
          0
          Одногруппник несколько лет занимался сертификацией компаний структуры РОСАТОМА по ISO 9001.
          В большинстве случаев для того чтобы получить сертификат нужно гору правильно оформленной макулатуры, повествующей о том что когда и в каких случаях надо делать и пр. Реальное соответствие СМК тому что обозначено в документах никто не проверяет. Плюс слышал от него фразу «ИСО 9001 содержит рекомендации к построению СМК» (не требования) и к реальному качеству конечной продукции может не иметь отношения.

          В IT же тематике когда изучал этот вопрос нашел, что большинство крупных компаний разрабатывают для себя свой стандарт комплексный, беря за основу различные стандарты. Единственные кто повально сертифицируются по 9001 — индусы, ибо так больше шансов на международный заказ.
            +1
            Есть такая фраза — «кормить бумажного тигра»:)
            Любой, самый классный стандарт\методологию можно убить формализмом, деланием бумажек вместо самого дела. ISO 9001 — наиболее часто попадает под раздачу, наверное за счет широкой распространенности.
            CMMI тоже можно испоганить. Рассказывали историю про индусскую компанию 5-го уровня CMMI. Так они производили всю необходимую документацию по проекту — статусы, метрики и тд. А когда пришел срок сдачи — оказалось ничего не сделано:-\

            По поводу «ИСО 9001 содержит рекомендации к построению СМК» — оно содержит рекомендательные требования:) Стандарт дает свободу в применении требований, но все требования должны быть внедрены.

            Абсолютно согласен по поводу крупных компаний. Им не выгодно выворачивать свои процессы под любые стандарты. Удобней взять бест практики из разных мест.
            0
            по поводу влияния на требования заказчика, откопал классную фразу:
            ”If I’d only listened to my customers, I’d just be building better horses.”
            — Henry Ford

            «если б я все время слушал моих заказчиков, то все, что я производил бы, сводилось к построению улучшенных лошадей» :) (сорри за упрощенный перевод)
              0
              Эффективность внедрения СМК зависит от трех факторов.

              Первый — поддержка руководства
              Второй — опыт и адекватность внедренца
              Третий — поддержка коллектива и готовность внедрять СМК в процессы

              Так вот, ни один из этих факторов не зависит от того, какую именно СМК мы внедряем.
              Более того, в разных компаниях должны получиться заведомо разные процедуры и процессы.
              И ISO 9001 был специально написан так, как он написан, чтобы обеспечить возможность внедрения в любых организациях — и IT, и производственных и т.д. И именно этим данный стандарт и хорош и именно поэтому я уверен, что он будет и должен внедряться в том числе в IT компаниях.

              ISO 9001 позволяет исключить любые процессы из 7 раздела, если они не используются. В т.ч. закупки, планирование и т.д.

              Если что, я работал в обеспечении качества в Новартис и ДХЛ.
                0
                «ISO 9001 позволяет исключить любые процессы из 7 раздела, если они не используются. В т.ч. закупки, планирование и т.д.»

                это как, поподробней можно?
                  +1
                  1.2 Применение
                  Все требования настоящего международного стандарта
                  имеют универсальный характер и рассчитаны на приме-
                  нение в любых организациях, независимо от их типа, раз-
                  мера и производимой продукции.
                  В тех случаях, когда отдельные требования настоящего
                  международного стандарта не могут быть применены
                  вследствие характера деятельности организации и её
                  продукции, допускаются исключения
                  Соответствие требованиям настоящего международного
                  стандарта признается лишь в том случае, если исключе-
                  ния не выходят за пределы требований, изложенных в
                  разделе 7, и не влияют на возможности и обязательства
                  организации по выпуску продукции, удовлетворяющей как
                  требованиям потребителя, так и применимым норматив-
                  ным требованиям.

                  1.2 Application
                  All requirements of this International Standard are generic
                  and are intended to be applicable to all organizations, regardless
                  of type, size and product provided.
                  Where any requirement(s) of this International Standard
                  cannot be applied due to the nature of an organization and
                  its product, this can be considered for exclusion.
                  Where exclusions are made, claims of conformity to this
                  International Standard are not acceptable unless these
                  exclusions are limited to requirements within clause 7, and
                  such exclusions do not affect the organization's ability, or
                  responsibility, to provide product that meets customer and
                  applicable regulatory requirements.
                    0
                    это да,
                    но вам нужно будет убедить аудиторов, что произведенные вами исключения «не влияют на возможности и обязательства организации по выпуску продукции, удовлетворяющей как требованиям потребителя, так и применимым нормативным требованиям.»

                    не всегда это просто.
                    еще, для меня стоит вопрос — зачем тратить энергию доказывание очевидных для ИТ вещей.
                      0
                      На моей практике проблем таких не было. Просто говорите, «проектирование не производится». Все. Только нужно написать в Руководстве по Качеству «разделы лалала были исключены согласно пункту 1.2 стандарта т.к. в организации нет такого-то процесса»
                  0
                  стандарт хорош, спору нет.
                  и для ИТ — тоже годится. но только смысл использовать что-то из разряда «ну сойдет», если существуют уже лучшие решения, специализированные.
                  единственная причина — внешние требования (заказчик требует для галочки), но не внутренние (реальная нужда в таком способе улучшения процессов).

                    0
                    Все равно никакие, даже специализированные стандарты, не будут лучше соответствующих требованиям ИСО, но любовно написанных под СВОИ процессы СОПов.
                      0
                      ну, вы можете также «любовно» внедрить методологию CMMI, учитывая специфику своих процессов, кто мешает?:)
                        0
                        Мешает то, что довольно часто внедряют СМК для участия в т.ч. в гос. тендерах. В таком случае «шотакое CMMI» никого интересовать не будет, а важна будет галочка «ISO 9001 — есть/нет».
                  0
                  Вкратце — CMMI vs ISO 9001 = Gentoo VS Windows. Вроде и лучше, а 1С (не к пятнице 13 будет помянута) все равно работает только под виндой, ну не считая Wine =)
                    +1
                    Т.е. вашему заказчику — организации, требующей сертификат ISO 9001 будет абсолютно плевать на объяснение, что CMMI лучше. Вас просто прокатят с тендером и досвидос.
                      0
                      то, о чем вы говорите — это текущий майндсет у людей (у заказчиков и у исполнителей)

                      в топике я попытался предсказать смерть такому майндсету, и предложил альтернативный — влиять на заказчика. на госконтору особо не повлияешь. но на американского заказчика — запросто.

                      можно и дальше прогибаться под любой ветер, а можно думать на пару шагов вперед и пытаться изменить. см выше фразу от Форда, про производство лучших коней:)

                  Only users with full accounts can post comments. Log in, please.