韩富超
(广州赛宝认证中心服务有限公司,广州 510000)
多体系整合实施方案在企业管理中的运用
韩富超
(广州赛宝认证中心服务有限公司,广州 510000)
本文分析多体系独立运行存在的问题,并整合企业内部运行的各个体系,形成统一的管理体系。
多体系;整合;实施方案
公司内通常有多个体系同时并存,如质量管理体系ISO 9001、职业健康体系ISO 18000、环境管理体系ISO 140000、信息安全管理体系ISO 27001、IT服务管理体系ISO 20000以及信息安全资质等,让这些体系“和平共处”非常重要。如不能很好地解决这些体系的共存问题,各个体系将出现“打架”现象,轻则体系运行出现障碍,重则会让整个公司管理体系运行陷入瘫痪状态。
在一些公司中,由于历史原因,多个体系分别独立运行,或者仅有少量体系简单整合,这给体系的良好运转带来极大挑战。
1.1过程文件 “打架”
同样的事情,可能有多个不同的文件约定,如“培训管理制度”在多个“体系”中同时存在,不同的“体系”中“培训管理制度”因特定体系的要求不同,其内容亦存在差异,如在ISO 20000体系中的“培训管理制度”规定每年年底收集培训需求并制订来年培训计划,而ISO 27001体系中规定每年年初收集培训需求并制订培训计划。这会引起培训专员在实施培训时的困惑,不确定究竟要按照哪个“培训管理制度”执行。
1.2过程难以实施
各个标准体系,其视角不同,对应的约定不同,但这些约定可能是针对公司同一个业务的不同方面,如在体系中不加以整合,则其实施会遇到很大挑战。如基于ISO 9001,公司制订了项目管理过程,针对项目从立项到结项的一列过程,而公司可能在ISO 27001中的“信息安全管理制度”中,根据ISO 27001附录A6.1.5中有关对项目管理中信息安全要求,做出在项目实施过程中的信息安全要求“在项目实施计划中,采用风险分析方法,分析项目信息安全风险,并根据分析结果,制订信息安全实施措施”。这导致在业务过程中没有规定其实施要求,这些要求反而分散在体系中各个不起眼的过程中,过程实施者在实施时很难联想到这些规定,也无法很好地实施这些规定。
多体系整合基本上分4步进行。
2.1合并同类项
这一步相对简单,将相同的过程合并成同一个过程,如多个体系均有“培训管理制度”,则保留其中一个就可以。
如果在多个体系中,有相同的管理制度,则保留一个即可,如这些约定有少量不同,则检查不同点在哪里。不同点一般有两种情况:一种是各个体系分别增加的,互不影响的约定,如ISO 20000“培训管理制度”中有关培训内容部分约定需要做IT服务意识培训,而在ISO 27001中相应内容则约定需要做信息安全培训,则只需要将这些约定整合在一起即可。另外一种情况是有冲突的约定,此时需要仔细分析甄别,取其中的合理成分。
如果在多个体系中,针对不同的业务,有类似的管理制度,则需将相同的内容加以整合,如公司系统集成有“系统集成项目实施制度”,软件开发有“软件开发项目实施制度”,运维服务有“运维服务项目实施管理制度”,这些项目实施管理制度,表面上看有诸多不同,但实际上,除部分细节差异外,其管理过程基本上完全一致,对其进行分析、整合,形成统一的、满足公司所有项目实施的“项目管理制度”,有利于公司的过程规范和执行。
2.2交叉融合
在该步骤中,将同一个过程中的不同约定,整合在一起,方便过程的执行。
如ISO 27001附录A6.1.5中有关对项目管理中信息安全要求,不再独立形成文件另行规定,而是整合在公司的“项目管理制度”中。
在该步骤中,实施的重点在于如何将不同文件的不同规定整合在一起。
2.3过程验证
对每个过程,针对公司的实际情况进行演练和验证,确保各个过程符合公司现状,过程定义规范、完整、可行。
2.4过程对标
将整合好的管理体系,按照各ISO体系资质要求,找出每个标准、每个条款对应的过程文件,形成《标准条款对应一览表》,以确认体系符合各个标准。
如该步骤不能通过,则返回第三步。
由于每个企业现状不同,其整合要求也不同,所以多体系整合实施周期也会有所不同。一般情况下,整合周期可安排在2~6个月,表1为中小企业多体系整合计划。
表1 中小企业多体系整合计划
10.3969/j.issn.1673 - 0194.2015.16.094
F279.23
A
1673-0194(2015)16-0130-01
2015-06-11