ISO 9001 в ИТ компании

в 14:27, , рубрики: CMMI, IT-стандарты, ИСО 9001, качество, процессы, управление проектами, метки: , , ,

ISO 9001 в ИТ компании
Сейчас редко найдешь среднюю или большую ИТ компанию, не имеющую ISO 9001 сертификата.
Тем не менее, я считаю, что в ближайшей перспективе ISO 9001 умрет для ИТ мира. Почему?
Попытаюсь обосновать.

В чем же проблема?

Люди, занимающиеся практическим внедрением ISO 9001 в ИТ компании, неизменно задаются интересными вопросами. Например — а что же это такое за «управление несоответствующим продуктом» (см. главу 8.3 стандарта).
И зачем же так яростно отслеживать «процесс закупок» (7.4). Какие еще могут быть закупки в ИТ компании? Правильный ответ — рабочие столы и лаптопы:)

Все просто. ISO 9001 – стандарт, прежде всего предназначенный для производственных компаний. Молочный завод к примеру. Или фабрика по пошиву одежды. Представьте себя руководителем этих предриятий – и вопросы о рекламациях и закупках сразу же становятся весьма актуальными:)

Конечно же, ISO 9001 – универсален. С его помощью можно построить Систему Менеджмента Качества (Quality Management System) где угодно. У нас в стране (Белоруссия) даже все образовательные институты принудили к ISO 9001 сертификации.
Вопрос лишь в применимости и эффективности такой сертификации.

А ведь существуют весьма достойные конкуренты ISO 9001 для ИТ области. Основным из них мне видится CMMI — Capability Maturity Model Integration.
CMMI – расширяется, улучшается. Недавно вышло расширение на сервисную часть ИТ бизнеса. По сути – конкурент ISO 20000, и весьма серьезный. В обзорах CMMI-SVC v1.3 побеждает ISO 20000.

Сравнение ISO 9001 и CMMI

Определение

ISO 9001 — cтандарт, разработанный Международной организацией по стандартизации ( International Organization for Standardization, ISO)

CMMI — методология, или процессный подход, разработанный Software Engineering Institute (SEI), в основном профессионалами в области ИТ.

Стандарт – это набор требований достаточно высокого уровня. Методология – набор подходов, методик – более практичный уровень.
ISO – огромная организация, более 200 стран, десятки функциональных направлений. Естественно, для таких объемов необходим жесткий формализм, из-за которого стандарты разрабатываются и затем изменяются о-очень долго.
Что касается SEI, то это, по сути, исследовательский центр на базе американского института. Тут много амбиций, денег и соответственно выход более живой.

Схема

ISO 9001 представляет собой набор требований высокого уровня. Вот небезысвестная картинка:
ISO 9001 в ИТ компании
Картинка – весьма распостраненная. Но что она на практике означает вам расскажут лишь немногие избранные.

В CMMI – список процессных областей должен быть знаком любому ПМ или прокаченному девелоперу.
Итак, CMMI представляет собой фреймворк специализированных best practices из домена Software and Service Development. Всего 5 уровней, на каждом последующем добавляется новая Process Area.
ISO 9001 в ИТ компании

Объем

ISO 9001 – 33 странички лаконичного текста. Общие фразы, описание обобщенных функций существующих в любой организации. Например, управление ресурсами, ответственность руководства и тд.
CMMI — более 700 страниц, три раздела (CMMI-DEV, CMMI-SVC и CMMI-ACQ)
Подходит для ИТ организаций. Применимость к молочным заводам затруднительна:)
Таким образом, в ISO имеем краткий набор принципов для любой организации. CMMI – детальные практические методы для ИТ сферы.

Внедрение

Внедрение ISO 9001 займет 6-8 месяцев для средней организации в 100-300 сотрудников.
Субъективно, стандарт легче и дешевле внедрить чем CMMI.
Внедрение CMMI займет 8-12 месяцев для подобной организации (набора проектов) на уровень 3.
Внедрять более сложно по сравнению с ISO 9001. Дороже, но как-то более удобно.

Сертификация

У ISO 9001 сертификация однобитная – то бишь либо сертифицировался, либо нет, без указания уровня организации.
Далее, раз в год – подтверждающие аудиты. Каждые 3 года – полная ре-сертификация.
Многие критикуют ISO 9001 за отсутствие уровней зрелости. Т.е. все находятся в одинаковом положении – что продвинутая компания с хорошими процессами, что начинающий ИП без процессов.
В CMMI же открывается большой простор для комбинаций по сертифицированию, и дальнейшему улучшению.

CMMI применяет 5-ти уровневую модель зрелости. Можно сертифицироваться на любой из 5-ти уровней (ну кроме первого; также не слышал чтобы на второй сертифицировались – обычно начинают с 3-го).
К тому же, можно выбрать различные способы оценки уровня.
ISO 9001 в ИТ компании

Вывод?

Что же, мне кажется преимущества CMMI и недостатки ISO 9001 для ИТ компании очевидны.
ISO 9001 в ИТ компании
Но не все так просто.

ISO 9001 не сдается

В каком то смысле, клан ISO 9001 пытается бороться, создает свои расширения для ИТ области. В частности, http://www.tickitplus.org/
Также, существует целая пачка ISO стандартов в помощь ISO 9001 для покорения ИТ мира:
ISO 10005:2005 Quality management – Guidelines for quality plans
ISO 10006:2003 Quality management – Guidelines for quality management in projects
ISO 10007:2003 Quality management – Guidelines for configuration management

Также имеются специальные ISO стандарты для ИТ:
ISO/IEC 12207 Software Lifecycle Processes
ISO/IEC 15288 Life Cycle Management – System Life Cycle Processes
ISO/IEC 15504 Software Process Improvement Capability Determination (больше известен как SPICE)

Этот список не претендует на полноту. В недрах ISO существуют десятки, если не сотни документов. И у всех одна и та же проблема – о них никто не знает, или знает узкий круг специалистов.
Также, немаловажное ограничение, за все эти документы необходимо платить (в отличие от CMMI документации, MSF, RUP и тд).
И кстати, я ни разу не слышал, чтобы кто-либо покупал их. По крайней мере в среде «из русских».

Но речь вообще то об ISO 9001.

Так почему же ISO 9001 до сих пор жив в ИТ среде?

ISO 9001 в ИТ компании
Основная причина для сертификации средней ИТ компании на ISO 9001 – историческая. Заказчики хотели иметь уверенность в том, что их заказ будет делаться хотя бы не ниже определенного уровня.
И ISO 9001 гарантировал это. Заказчики видели(слышали) результат внедрения ISO 9001 в других областях, и вполне справедливо предполагали что сработает и в ИТ области.
Все так, но прошло время, ИТ мир изменился, появились новые модели и приемы. Появился CMMI, Agile и др.
Сейчас ИТ компании сертифицируются на ISO 9001 в подавляющем числе только лишь из-за давления заказчика – чтобы тендер выйграть и т.п.

Что будет дальше?

Пройдет время, и заказчик узнает (осознает), что нужно требовать более правильные вещи от своих исполнителей. Этот процесс невозможно остановить. Интернет делает свое дело. Все больше ИТ контор кладут на полку формализм ISO 9001 (справедливости ради нужно сказать, что некоторые конторы никогда и не доставали с полки ISO 9001:). И все больше ИТ контор внедряют специализированные методологии, стандарты и практики.

Также, процесс идет и со стороны самих ИТ компаний. К примеру, в нашей фирме мы прорабатываем материалы для заказчика, в которых рассказываем о преимуществах CMMI и о том, что ISO 9001 ему не нужен. Т.е. ИТ компания может и должна влиять на требования заказчика, особенно в области процессов, способа разработки и тд.

Итак, 10-15 лет, и ISO 9001 для ИТ мира умрет. Или переродится в нечто сверх-новое. Но не верится:)
Конечно же, это мнение лично мое, на истину в последней инстанции не претендует.

Неужто этот ISO 9001 так отстоен?

Имеет ли все же ISO 9001 смысл для ИТ компании?
В определенных условиях – да.
Для небольшой компании с плохими процессами (или с отсутствующими процессами).
Внедрение ISO 9001 поможет ей установить простейшие здравые процессы, отслеживать и улучшать их. Внешняя сертификация может и не потребоваться – ведь достаточно просто внедрить требования стандрарта. Но все же лучше сертифицироваться – цена небольшая, а держит в тонусе неплохо.

Но если в компании уже существует неплохая система процессов – то обращаться к ISO 9001 не имеет смысла. Лучше взять что-либо ИТ заточенное: CMMI для серьезных проектов, Agile для попроще и тд.

Буду рад комментариям и обсуждению.

Ссылки

Официальный текст ISO 9001, есть также более удобный вариант.
CMMI

PS пожилой качок на фотке — весьма уважаемый бодибилдер Ray Moon. Ему уже за 80, просьба не надмеваться над ним. Впрочем, как и над ISO 9001.

Автор: evmenkov


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js