Доколе?! Зачем ИТ-компании ежегодно проходить сертификацию по ISO 9001:2015

Менеджер по качеству ALP Group Ирина Ипполитова объясняет, почему так важно регулярно тратить ресурсы на привлечение внешнего аудитора, даже если вы знаете, что в вашей ИТ-компании и так всё хорошо.

На эту тему меня натолкнули разговоры с кураторами наших проектов во время подготовки к очередному внешнему аудиту соответствия требованиям ISO 9001:2015. Как менеджер по качеству, вопрос «А зачем оно нам надо?» я слышу из года в год (вместе с просьбами вот именно в этот год отправить на рандеву с аудитором «любого другого сотрудника»). Этот вопрос возникает у руководителей, кураторов, да что и говорить — иногда даже у владельцев бизнеса. Ежегодный аудит по международному стандарту — удовольствие не бесплатное, с 2022 года еще и сложнее реализуемое, и при наших масштабах занимающее два полноценных рабочих дня и вовлекающее целый ряд топ-менеджеров. Давайте разберемся, зачем же «оно нам надо».

Само по себе внедрение системы менеджмента качества (СМК) необходимо с позиции правильной организации процесса. Плюсы здесь очевидны: повышение качества оказания услуг, повышение удовлетворенности клиентов, а также рост эффективности бизнеса. Но ведь ничто не мешает нам просто грамотно выстроить СМК, организовать все процессы и спокойно поддерживать их внутри себя, не тратя деньги на проведение регулярных внешних аудитов и ресертификацию, верно? Усы, лапы и хвост — вот мои документы! Не совсем так.

Внешняя сертификация обладает рядом преимуществ, которые не всегда очевидны при взгляде изнутри:

1. Выполнение требований вендора.

Как компания-интегратор, мы внедряем цифровые продукты и работаем с Фирмой «1С» — крупнейшим поставщиком информационных корпоративных решений на российском рынке. Так вот, сертификацию соответствия требованиям ISO 9001:2015 — неважно, российскую или международную — Фирма «1С» прописала как одно из обязательных условий для получения франчайзи определенных статусов.

В свою очередь, статусы вендора считаются престижным и надежным способом убедиться в добропорядочности и профессионализме подрядчика. Наличие соответствующих статусов может стать одним из решающих пунктов при выборе клиентом надежного партнера по автоматизации, что подводит нас ко второму пункту…

2. Выполнение требований заказчика.

Любой бизнес всегда находится в поиске новых клиентов, и если на свете есть сертификат, который может без лишних слов показать потенциальному заказчику ценности, опыт и возможности компании, значит, этот сертификат точно имеет смысл заполучить. Заказчику, который к нам приходит, очень важно понимать, что мы действительно можем выполнять всё то, о чем мы заявляем, что наш опыт релевантен, и что мы обеспечим выполнение проекта на высококлассном уровне.

Просто так поверить незнакомому подрядчику на слово мало кто согласится. И это понятно: учитывая количество провальных (раздутых по времени выполнения или по бюджету, а то и вовсе не доведенных до конца) проектов по автоматизации, клиенту нужны дополнительные гарантии благонадежности подрядчика. Особенно если компания привлечена с рынка, и взаимоотношения заказчик—подрядчик строятся с нуля. Именно поэтому наличие подтвержденного сертификата ISO 9001:2015 зачастую прописывается как обязательный пункт в договорах или условиях тендера.

Здесь есть и еще один нюанс: многие заказчики знакомы с процессом сертификации не понаслышке, так как сами должны проходить уже не добровольную (как ISO 9001:2015), а обязательную сертификацию по российским и международным стандартам (например, в области пищевой или экологической безопасности). Такого рода стандарты часто содержат в себе следующий пункт: когда организация отдает что-то на субподряд, она должна обеспечить выполнение работ подрядчиком в соответствии с требованиями стандарта. Другими словами, наличие сертификата у подрядчика становится уже не просто заверением благонадежности, но и обязательным условием для сотрудничества.

3. Получение диагностического среза.

Сертификация системы менеджмента качества — это не только формальное мероприятие ради получения документа в рамочке, но и реально полезный скрининг здоровья бизнеса. Встречу с аудитором можно сравнить с ежегодным походом к врачу — даже если у нас ничего не болит, хочется знать, что здоровье у нас в порядке, а все жизненно важные показатели — в норме.

В ходе подготовки к аудиту компания так или иначе осуществляет внутреннюю проверку процессов. Если же самостоятельно выявить проблемные зоны не получилось, то тут на помощь уже приходит внешний аудитор, который как опытный врач-диагност может быстро выявить любые отклонения от стандарта, способные в будущем вылиться в реальные проблемы.

4. Получение ценной консультации.

Стоит сказать, что аудитор может не только указать на слабые места компании, но и подсветить возможности, которые по тем или иным причинам могли не увидеть владельцы процессов или менеджер по качеству. Здесь аудитора уже можно сравнить не столько с диагностом, сколько с психологом для бизнеса. Общение с внешним аудитором — как сессия со специалистом, на которой ты безустанно говоришь о себе, и по завершении которой вдруг начинаешь понимать какие-то ранее не отрефлексированные моменты.

Зачастую аудитор запускает мыслительные процессы и подталкивает к верным решениям не напрямую указывая путь, а «всего лишь» задавая грамотные вопросы. Например, нам в свое время в ходе проведения аудита задали такой вопрос: «А как вы управляете компетенциями сотрудников в части управления квалификацией, чтобы гарантировать, что вместе с сотрудником из компании не уходили узкие специализации?» Ответить было нечего. К следующему аудиту мы уже разработали матрицу компетенций, куда стали заносить все необходимые компетенции для выполнения договорных обязательств по проекту и фиксировать, какие сотрудники ими обладают. Если мы видим, что определенной компетенцией обладает только один человек, то занимаемся расширением знаний внутри команды. Пока же компетенции не расширены, мы держим руку на пульсе, чтобы не потерять обладателя ключевых знаний.

На последнем аудите нас натолкнули уже на другую идею, на этот раз по совершенствованию системы управления рисками. Аудитор подсказал, что имеет смысл перейти от абстрактной оценки потенциальных потерь при реализации риска к более четкому пониманию денежной стоимости тех или иных рисков. Мотаем на ус и будем прописывать методологию расчета финансовой составляющей при срабатывании рисков!

5. Прослеживаемость изменений.

Поскольку внешний аудит СМК — это ежегодная история, которая требует прослеживаемости всех документов, результаты проверки не теряются. Без своевременного контроля у компании есть риск выявить слабые зоны или точки роста, а потом забыть о них в ворохе горящих оперативных задач. Благодаря регулярности аудитов, мы можем с определенной периодичностью возвращаться к результатам проверки и мониторить внесение запланированных исправлений/улучшений в бизнес-процессы компании.

На следующем аудите мы поднимаем старые записи и вместе прослеживаем историю развития тех вопросов, которые поднимались в ходе прошлого аудита. Если какие-то вопросы были не закрыты, а обещания не выполнены, это повод провести внутренний чек-ап и разобраться. Если же все гештальты закрыты, можно просто себя поздравить и двигаться дальше!

Стоит отметить, что если вендоров обычно устраивает официальная сертификация соответствия российскому стандарту ГОСТ Р ИСО 9001-2015 (прямой аналог ISO 9001:2015), то крупный бизнес зачастую отдает предпочтение международной сертификации и хочет видеть объективную оценку бизнес-процессов компании со стороны зарубежных аудиторов.

Начиная с 2022 года получение международной сертификации заметно осложнилось. Многие сертифицирующие органы полностью ушли из России. Другие стали с большей опаской брать новых клиентов, или перестали их брать вообще. Мы столкнулись с этим на собственном примере: норвежская аудиторская фирма, с которой мы работали на протяжении многих лет, ушла по-английски, и нам пришлось искать альтернативу.

И здесь речь уже заходит о том, как важно правильно подойти к выбору организации, которая будет проводить сертификацию и, соответственно, внешний аудит компании. Конечно, у нас всегда есть возможность выбрать что-то попроще, с меньшим именем, но, как не сложно догадаться, доверие к такому сертифицирующему органу у заказчиков на корпоративном рынке будет заметно меньше. В свою очередь, выбор крупного международного органа по сертификации поможет добавить будущему сертификату вес, но процесс сертификации в таком случае может стать целой эпопеей.

Проведя анализ рынка, мы сделали свой выбор в пользу турецкой организации. Могу честно сказать, что в этом году сертификация проходила ощутимо сложнее. В связи с резким снижением делового доверия к российским компаниям, международные органы сертификации стали вдвое тщательнее подходить к проверке результатов аудитов и требовать больше свидетельств. К примеру, если раньше, при работе с норвежской аудиторской компанией, нам достаточно было показать в подтверждение своих слов несколько записей в ходе аудита, то сейчас речь идет о нескольких десятках записей со скриншотами и обязательным переводом на английский (чтобы помимо русскоязычного аудитора «на выезде» всю документацию еще раз перепроверили из офиса турецкие специалисты). Про то, что у каждого органа по сертификации своя форма отчетности и свои нюансы, я даже не говорю.

В определенном смысле получение сертификата соответствия требованиям ISO 9001:2015 сродни получению любого другого документального заверения — например, университетской «корочки». Если человек не получил красный диплом, значит ли это, что он ни на что не годен? Конечно, нет. Чарльз Диккенс, Уолт Дисней, принцесса Диана, Джон Д. Рокфеллер, Ричард Брэнсон — что объединяет всех этих людей? Они все не закончили даже среднюю школу. Тем не менее, станет ли наличие диплома одним из положительных факторов при приеме на работу? Скорее всего, да. А если это диплом Гарварда? Тем более. Можно ли научиться чему-то ценному и стать чуточку лучше благодаря советам хороших преподавателей? Да, и это тоже верно.

Хотя сертификат ISO 9001:2015 не является обязательным для компаний ИТ-сектора, его наличие открывает многие двери. Так что, коллеги, берем себя в руки и готовимся к очередной сертификации в следующем году! :)