Управление услугами в ГОСТ Р ИСО/МЭК 20000

В конце 2005 г. ISO выпустила стандарт ISO/ISE 20000, разработанный на основе национального британского стандарта BS 15000 и содержащий перечень требований к поставщикам ИТ-услуг. В первой своей редакции стандарт включал четыре документа: ISO/IEC 20000, Part 1: Specification, ISO/IEC 20000, Part 2: Code of practice, BIP 0005:2006, A Manager's Guide to Service Management^{1Руководство по управлению ИТ-услугами для менеджеров} и BIP 0015:2006, IT Service management. Self-Assessment Workbook^{2Управление ИТ-услугами. Пособие по самооценке} . Цель разработки стандарта состояла в создании методической основы для сертификации организаций на соответствие их процессов управления ИТ-услугами требованиям ITIL (до этого сертификация на знание процессов ITIL проводилась только для физических лиц). Впоследствии стандарт был пересмотрен, и теперь он состоит из пяти книг. Две первые книги сохранились, а вместо последних двух документов появились ISO/IEC TR 20000-3:2009, ISO/IEC TR 20000-5:2010, ISO/IEC TR 20000-5:2010 (в разработке).

Третья часть стандарта призвана помочь поставщикам услуг продемонстрировать соответствие их процессов управления услугами требованиям, изложенным в первой части стандарта. В ISO/IEC TR 20000-3 изложены используемые при этом методы. Документ предназначен и для тех поставщиков, которые планируют улучшить свои услуги с помощью ISO/IEC 20000-1. Наконец, ISO/IEC TR 20000-3 поможет поставщикам услуг, которые собираются внедрять систему управления услугами на базе ISO/IEC 20000-1 и хотят понять границы его применимости. ISO/IEC 20000-3 дополняет ISO/IEC 20000-2.

ISO/IEC 20000-4 в настоящее время находится в разработке.

ISO/IEC 20000-5 содержит примерный план реализации системы управления услугами, удовлетворяющей требованиям ISO/IEC 20000-1. Проект реализации системы, согласно ISO/IEC 20000-5, состоит из трех этапов. Даются рекомендации по подготовке обоснования создания системы, описывается процесс запуска проекта, приводится перечень основных шагов на каждом его этапе. Эта часть ISO/IEC 20000 служит только иллюстративным целям, и ее рекомендации не являются обязательными к применению.

В 2009 г. был подготовлен окончательный проект российского стандарта, представляющий собой аутентичный перевод первых двух частей ISO/ISE 20000. Он получил название ГОСТ Р ИСО/МЭК 20000 (ГОСТ 20000-1, 2009), (ГОСТ 20000-2, 2009). Несмотря на то, что на момент написания книги проект не был формально принят, маловероятно, что он претерпит существенные изменения, поэтому я считаю возможным рассматривать его практически как действующий стандарт. О нем и пойдет речь ниже.

Две части стандарта ГОСТ Р ИСО/МЭК 20000 имеют разную направленность.

Целевая аудитория первой части стандарта, которая называется "Спецификация", определена следующим образом:

• организации, собирающиеся предлагать свои ИТ-услуги;
• организации (предприниматели), требующие согласованного подхода со стороны всех поставщиков в цепочке поставок;
• поставщики ИТ-услуг, использующие стандарт для сравнительной оценки собственного уровня управления ИТ-услугами;
• независимые оценщики, использующие стандарт для проведения оценки;
• организации, желающие продемонстрировать заказчику способность предоставлять ИТ-услуги в соответствии с его требованиями;
• организации, стремящиеся к улучшению ИТ-услуг посредством эффективного применения процессов мониторинга и повышения качества услуг.

Процессы управления ИТ-услугами, вошедшие в стандарт, показаны на рис. 14.1.

Первая часть стандарта имеет очень простую и ясную структуру.

Сначала формулируются общие требования к системе управления ИТ-услугами. Цель этих требований - "создать систему управления, включая политики и структурированный подход, реализующий эффективное предоставление и управление всеми ИТ-услугами в организации".

Рис. 14.1. Процессы управления услугами

Видно, что по сравнению с ITIL v.3 структура процессов в ГОСТ Р ИСО/МЭК 20000 более проста. Вместо сложных процессов управления портфелем ИТ-услуг, каталогом ИТ-услуг, активами услуг и конфигурацией, системой управления знаниями об услугах и т. п. ГОСТ Р ИСО/МЭК 20000 описывает управленческие решения, принимаемые руководством провайдера услуг. Вот цитата из стандарта:

"Своей лидирующей ролью и действиями высшее руководство должно подтверждать свое стремление выполнять принятые обязательства по разработке, внедрению и развитию внутренних возможностей по управлению услугами в соответствии с требованиями бизнеса организации и ее заказчиков.

Руководство должно:

1. установить цели, определить политику и сформировать планы по управлению услугами;
2. информировать о важности достижения целей по управлению услугами и о необходимости постоянного улучшения;
3. гарантировать, что с целью повышения удовлетворенности заказчиков их требования определены и выполняются;
4. назначить представителя руководства, ответственного за координацию и управление всеми услугами (ответственного руководителя);
5. определять и предоставлять ресурсы для планирования, внедрения, мониторинга, проведения обзора и улучшения предоставления и управления услугами; например, принимать на работу необходимый персонал, управлять текучестью кадров;
6. управлять рисками, связанными с организацией управления услугами и с самими услугами;
7. проводить обзор управления услугами с запланированной периодичностью, для того чтобы гарантировать постоянную приемлемость, адекватность и результативность".

Попытка сравнительного анализа систем понятий (процессы не сравнивались) ISO/IEC 20000 и ITIL v.3 была предпринята в работе (Jenny Dugmore, 2008). В результате авторы пришли к выводу, что по сугубо формальным признакам система понятий ISO/IEC 20000 ближе к ITIL v.3, чем к ITIL v.2. С моей точки зрения, однако, более важна содержательная сторона, и в этом смысле стандарт далек от третьей версии ITIL, концептуальное и методологическое содержание которой находится на качественно ином уровне, чем тот, который демонстрирует ГОСТ Р ИСО/МЭК 20000.

Следующий раздел первой части ГОСТ Р ИСО/МЭК 20000 определяет общий подход к планированию и реализации управления услугами, в основу которого положен принцип PDCA (от Plan-Do-Check-Act), как это показано на рис. 14.2. Для каждого из этих действия определяются цели и действия, которые необходимо выполнить.

увеличить изображение
Рис. 14.2. PDCA для управления услугами

После этого описаны группы процессов.

Я остановлюсь на описании группы процессов взаимоотношений, поскольку именно здесь ГОСТ Р ИСО/МЭК 20000 расходится как с ITIL v.2, так и с ITIL v.3.

Эти процессы описывают деятельность двух видов: управление взаимоотношениями с бизнесом и управление подрядчиками.

Целью деятельности по управлению взаимоотношениями с бизнесом является поддержание взаимовыгодных отношений между поставщиком услуг и заказчиком, основанных на понимании поставщиком потребностей заказчика.

Для этого поставщику предлагается:

• получать сведения о заинтересованных лицах и заказчиках услуг;
• наладить практику встреч, которые происходят не реже одного раза в год, где поставщик услуг и заказчик проводят ревизию существующих услуг и обсуждают изменения в соглашениях об уровне услуг, требованиях бизнеса, контрактах и т. п. В промежутках стороны встречаются для обсуждения текущей производительности услуг, возникших проблем и планов действий;
• определить и выполнять процесс обработки жалоб (определение жалобы согласуется с заказчиком). Для каждой жалобы процесс включает получение, формальную регистрацию, обработку, формальное закрытие, предоставление отчета;
• назначить персонально ответственного за управление удовлетворенностью заказчика и процессом взаимоотношения с бизнесом в целом. Должна поддерживаться обратная связь с заказчиком, и пожелания заказчика должны включаться в план улучшения услуг.

Цель деятельности по управлению подрядчиками - гарантировать предоставление целостных, качественных услуг.

Для достижения этой цели:

• процесс управления подрядчиками у поставщика должен быть формально описан; для каждого подрядчика должен быть назначен персональный менеджер контракта;
• требования, охват, уровни услуг и процессы коммуникаций, предоставляемые подрядчиком (подрядчиками), должны быть задокументированы в соглашениях об уровне услуг или иных документах и согласованы всеми сторонами;
• соглашения об уровне услуг, заключенные с подрядчиками, должны соответствовать соглашениям об уровне услуг, заключенным с бизнесом;
• интерфейсы между процессами, используемыми каждой стороной, должны быть задокументированы и согласованы;
• роли и взаимоотношения между ведущими поставщиками и субподрядчиками должны быть задокументированы. Ведущий поставщик должен продемонстрировать процессы, гарантирующие выполнение договорных требований субподрядчиками;
• должен существовать процесс проведения полного обзора контракта, либо формальное соглашение, как минимум о ежегодном анализе контракта на предмет соответствия потребностям бизнеса и исполнения договорных обязательств. Следствиями таких обзоров будут изменения в соглашениях об уровне услуг и контракте(ах), в случае его (их) наличия. Любые изменения происходят в рамках процесса управления изменениями;
• должен существовать процесс управления договорными разногласиями;
• должен существовать процесс решения вопросов о запланированном или досрочном окончании предоставления услуги или передачи услуги другой стороне;
• должен проводиться мониторинг производительности и обзор ее соответствия целевым показателям уровня услуги. Выявленные в результате действия по улучшению регистрируются и используются в качестве входных данных для плана улучшения услуг.

Ни по глубине, ни по охвату, ни по детальности и последовательности изложения приведенные описания процессов не могут сравниться с соответствующими процессами ITIL v.3. Для сравнения: описание процесса управления поставщиками в ITIL, соответствующего процессу описания субподрядчиками, занимает 24 страницы текста против одной страницы в ГОСТ Р ИСО/МЭК 20000.

Вторая часть стандарта, которая называется "Свод практик", "представляет собой отраслевое соглашение по стандартам качества для процессов управления услугами ИТ". Она:

• содержит рекомендации поставщикам услуг "о необходимости применения общей терминологии и более согласованного подхода к управлению услугами";
• "предоставляет указания аудиторам и предлагает помощь тем поставщикам услуг, которые планируют совершенствование услуг, и тем, которые должны пройти аудит на соответствие требованиям ГОСТ Р ИСО/МЭК 20000-1".

Сразу отмечу, что документ не содержит никаких правил и процедур аудита и методов совершенствования услуг, равно как и описаний деятельности и ответственности аудиторов, поэтому последний пункт следует рассматривать скорее как неформальное пожелание, а не практическую рекомендацию.

В остальном вторая часть воспроизводит первую, но с большим уровнем детальности.

Опять рассмотрим группу процессов взаимоотношений.

Описание процесса управления взаимоотношениями с бизнесом теперь включает три раздела:

• анализ услуг;
• жалобы, связанные с предоставлением услуг;
• оценка удовлетворенности заказчиков.

По сравнению с описанием соответствующего процесса в первой части стандарта существенных изменений ни в формат, ни в стиль, ни в содержание документа не внесено. В разделе "Анализ услуг" появляется вставка о согласовании "процедуры промежуточного анализа предоставляемых услуг для обсуждения промежуточных результатов, достижений и спорных вопросов"; в раздел "Жалобы…" добавлено замечание о том, что "для подачи жалоб в данном процессе следует определить точку контакта заказчиков с поставщиками услуг"; в разделе "Оценка…" уточняется, что измерение удовлетворенности заказчиков услуг проводится "для того, чтобы у поставщика была возможность сравнить текущее значение удовлетворенности с его целевыми значениями и со значениями, полученными при проведении предыдущих опросов".

Подведем промежуточные итоги (об окончательных итогах можно будет говорить после завершения работы над ISO 20000).

• Стандарт ГОСТ Р ИСО/МЭК 20000 использует совершенно другую модель процессов, чем ITIL v.3. Эта модель не является подмножеством модели ITIL v.3, она структурирована иначе, чем жизненный цикл услуг в ITIL v.3.
• Первые две части стандарта не включают никаких указаний на организацию процесса аудита, не содержат рекомендаций по практическим инструментам аудитора, описания ответственностей аудитора и т.п.
• Уровень детализации описаний в ГОСТ Р ИСО/МЭК 20000 таков, что все выводы, которые сделаны в тексте, очевидны на уровне обычного здравого смысла и фактически не требуют обоснований.
• Принцип разбиения стандарта на две практически совпадающие по содержанию и структуре части остается непонятным. Мотивы такого решения в тексте не излагаются.
• Причины, по которым авторы предпочли использовать для оценки и улучшения процессов подход PDCA, а не реализованную уже CMMI-модель развитости процессов (CMU-SEI, 2009), неясны.

Единственный вопрос, относительно которого нет никаких сомнений, - это вопрос о нужности подобного стандарта. Понятно, что ITIL v.3 в ее современном виде абсолютно не предназначена для использования при оценке развитости процессов управления ИТ-услугами у поставщиков. Понятно и то, что такая оценка важна и востребована заказчиками услуг.

Краткие итоги

Рассматривается незавершенный стандарт управления услугами ISO/IEC 20000, а также официальный перевод его на русский язык - ГОСТ Р ИСО/МЭК 20000. Этот стандарт содержит эталонную модель процессов управления услугами и предназначен для практического использования при оценке и сертификации организаций на соответствие требованиям ITIL. Отмечается, что процессная модель стандарта отличается как от модели ITIL v.2, так и от модели ITIL v.3, а также то, что изложение основных понятий управления услугами ведется на значительно более упрощенном уровне, чем в ITIL v.3. В настоящем его виде стандарт ГОСТ Р ИСО/МЭК 20000 не включает практических рекомендаций по проведению аудита и сертификации.

Вопросы

1. Какова структура стандарта ГОСТ Р ИСО/МЭК 20000?
2. Как структурированы процессы предоставления услуг в ГОСТ Р ИСО/МЭК 20000?
3. Как организованы взаимоотношения с бизнесом и подрядчиками в ГОСТ Р ИСО/МЭК 20000?
4. В чем отличия в подходах к управлению услугами ГОСТ Р ИСО/МЭК 20000 и ITIL v.3?