马汝国/中国信息安全认证中心,北京 100020
摘要:管理体系的有效性与效率是有关各方共同关注的重要议题。对管理体系有效性的怀疑缘于对体系在组织中地位与作用的片面认识:体系应该服务于过程,从而提高过程的有效性与效率。组织在使用PDCA方法时应重视P阶段的作用,应根据标准要求进行过程能力控制和评价,以保证体系适合于过程需要。一体化管理体系应该以同样的过程为“体”,识别过程的各个重要“要素”,形成过程工作标准。最后对一体化管理体系建立过程中有关技术性问题如管理体系应体现企业经济效益的要求、法律法规的应用、一体化管理体系的过程评价等进行了探讨。
关键词:管理体系;过程方法;有效性
随着GB/T19001质量管理体系标准在国内各种不同行业、各种不同类型组织中的广泛应用,GB/T24001环境管理体系、GB/T28001职业健康安全管理体系、GB/T22080信息安全管理体系、GB/T24405.1信息技术服务管理体系等标准也相继为越来越多的组织所接受和采用,其中绝大多数组织都已经通过了国内权威认证机构的管理体系认证,这就意味着他们依据有关标准所建立的管理体系是符合标准要求的。然而,随着时间的推移,很多通过管理体系认证的企业发现:当初他们花费大量精力建立起来的、已经通过权威认证机构审核的管理体系似乎并没有给他们的企业管理和经营业绩带来预期的效益,所以,如何提高管理体系的有效性和效率已经成为国内各认证机构和受审核企业共同关心的重要议题。笔者在早期从事质量、环境、职业健康安全管理体系审核工作的过程中,以及目前在从事信息安全管理体系和信息技术服务管理体系审核工作的过程中,始终深感这个问题的重要,因此不揣冒昧,就此问题提出自己粗浅的看法,籍此抛砖引玉,欢迎各位关注管理体系有效性建设的同仁批评指正。
一、正确认识管理体系在组织管理中的地位和作用
对于任何一个准备采用相关标准建立管理体系的组织而言,他们首先需要正确认识按照标准要求建立的管理体系在整个企业管理过程中的定位问题。在GB/T19001标准实施初期,我们社会似乎在很大程度上存在一种抬高质量管理体系重要性的倾向,很多企业以通过质量管理体系认证为骄傲。时至今日,由于部分企业在贯彻标准要求的过程中并没有产生预期的理想收益、或者其他一些非正常的原因,导致少数人员对质量管理体系标准的有效性产生怀疑,社会上似乎又出现了一种质量管理体系无用论的倾向。受此影响,GB/T24001环境管理体系、GB/T28001职业健康安全管理体系甚至GB/T22080信息安全管理体系、GB/T24405.1信息技术服务管理体系等管理体系的有效性也在不同程度上受到了质疑。以上二种极端的倾向都是由于对管理体系标准认识的偏面而产生的、都是不可取的。
1
就企业管理而言,其本身就是一个非常复杂的系统工程。如同人体存在着呼吸系统、消化系统、神经系统、血液循环系统等若干个相对独立又互相影响的有机系统一样,质量、环境、职业健康安全、信息安全、信息服务管理等等仅仅是企业若干管理系统的一部分,企业管理另外还包括如供应、生产、营销、技术、财务、人力资源、发展战略、企业文化、风险管理等一系列同样重要的管理内容。人类社会发展到今天,企业管理的某些方面如质量管理等已经形成了较为系统的管理标准,而更多的管理内容还需要全人类共同进行更加深入、更加广泛的研究和探索。即使以GB/T19000族标准这样较为成熟的质量管理体系方法为例,一个企业如果没有采用GB/T19001标准,并不说明该企业不存在产品质量管理、甚至不能说该企业的质量管理水平比GB/T19001标准要求低下,因为世界上还存在很多非常优秀的质量管理模式。一个企业是否采用GB/T19001标准、完全取决于其自身发展的需要,GB/T19000族标准本来就是自愿性标准,就如同一个人是否愿意接受某大学的高等教育一样,完全取决于个人自愿。另一方面,同样接受了高等教育、甚至是同一个班级毕业的学生,其工作能力也各不相同;与此类似,同样通过GB/T19001标准认证的不同企业,其实际质量管理水平也不可能完全一样。以上道理同样适用于其他管理体系标准,因为这些管理体系标准均没有给出体系绩效的绝对要求,这是管理体系标准不同于产品标准的一个重要特点。
GB/T19000族标准所表述的是以过程为基础的质量管理体系模式,鼓励采用过程方法管理组织。从过程角度考虑,管理体系应当服从过程需要、为过程服务,而不能仅仅在形式上为了体系而体系,更不能使体系存在超越于过程之上的“特权”。也就是说:过程是目的,体系只是实现目的的方法。所以,一个成功的管理体系应当有利于提高过程的有效性和效率,改进过程实现其预期结果的能力,促进过程增值。由于成功地管理一个组织及其过程需要若干个管理体系的共同作用,这就需要对不同的管理体系进行协调或整合、使之互相兼容、协调一致,GB/T19001—2008标准认为:“本标准使组织能够将自身的质量管理体系与相关的管理体系要求相协调或整合。”这充分说明GB/T19001—2008标准是具备这种功能的。同时,
GB/T19001—2008标准还认为:“组织为了建立符合本标准要求的质量管理体系,可能会改变现行的管理体系。”需要注意的是:标准认为可能需要改变的是“现行的管理体系”、而不是改变“过程”。
那么,一个高效的管理体系对于过程又有怎样的相互关系呢?过程第一,体系第二;过程为主,体系为辅。体系服务于过程、自然也服从于过程,体系通过过程而发挥作用,体系的有效性只有通过过程的有效性来体现和确认;过程因为体系而能够稳定和规范地运行,从而实现预期的增值目的。以企业的生产提供过程为例:生产管理属于体系的范畴,生产工艺则属于过程的范畴,合理的生产工艺是生产合格产品、降低生产成本、提高生产效率的前提,良好的生产管理则是生产过程顺利进行、实现预期结果的保证。所以,合理的过程策划是管理体系发挥作用的前提条件,高效的管理体系必然增强过程的有效性和效率,促进过程增值。
二、采用过程方法建立符合组织现实要求的一体化管理体系
2
在审核过程中,我们经常可以发现这样的现象:对照标准的符合性要求,受审核方的管理体系似乎并不存在严重的问题,然而,无论是审核组、还是受审核方自身,对于管理体系的有效性均不满意,管理体系成为食之无味、弃之可惜的“鸡肋”;仔细分析还可以发现:受审核方为管理体系运行控制提供的一些记录等审核证据有时候对其本职工作似乎并没有很大的帮助,画蛇添足式为了体系而体系的现象比较普遍,于是就形成了俗语所谓的“二张皮”现象:体系自体系、工作自工作,体系也就成为了中看不中用的摆设。如何提高管理体系的有效性因此成为认证机构和受审核方共同面对的难解之结。
问题到底产生在哪里?
“解铃还需系铃人”,既然是标准执行过程中出现的问题,就只有向标准本身寻求答案。 GB/T19001—2008标准是基于过程为基础的质量管理体系模式,“标准鼓励在建立、实施质量管理体系以及改进其有效性时采用过程方法”,标准认为PDCA方法适用于所有过程。如果从PDCA循环这个角度考虑,对于管理体系符合性审核而言,我们关注的是过程的实施D是否符合其策划P的要求,然而对于过程策划P本身的关注似乎并不十分充分。一种比较普遍的现象是:受审核方根据标准所要求的四大过程即管理职责、资源管理、产品实现、测量分析和改进编制了质量管理手册,但是并没有识别其子过程,在实际工作中依然根据传统的习惯按部门、岗位、要素、项目等进行日常工作管理。这也就造成了各个企业的质量管理手册基本上大同小异,不能完全、准确地反映企业的实际情况。GB/T19001—2008标准4.1a条款明确要求“确定质量管理体系所需的过程及其在整个组织中的应用”,对于标准本身所给出的四大过程管理模式、标准认为:“该模式虽覆盖了本标准的所有要求,但却未详细地反映各过程”。由此可见:为了“详细地反映各过程”,一个组织仅仅按照标准的四大过程建立质量管理体系是远远不够的,我们应该对过程进行分解,在组织质量管理体系所覆盖的整个范围内识别其全部子过程及其应用。
为了保证过程的有效运行,根据GB/T19001—2008标准4.1条款要求,需要在以下五个方面对过程能力进行控制:
1. 确定过程的输入和输出; 2. 确定过程的运行准则和方法; 3. 提供过程运行所必要的资源和信息;
4. 对过程进行必要的监视、测量和分析,例如:对过程能力进行评审、验证和确认等; 5. 实施必要的措施以保证过程有效运行和持续改进;
从过程管理的角度考虑,由于质量管理仅仅是过程管理的一个方面、而不能代表过程管理的全部,过程管理还包括很多非常重要的要求和内容,例如对于企业十分重要的财务管理等等,所以,根据过程能力要求、建立包含质量管理体系要求的过程工作标准或规范应该是一种行之有效的过程管理方法,从而将质量管理真正纳入过程管理之中,使二者熔为一体,这样不但可以从根本上提高质量管理的有效性,同时可以通过提高过程管理的有效性、从而全面提高整个企业管理的有效性和效率。
3
采用过程方法管理组织的前提是系统地识别并确定组织的各个过程,对过程进行策划并使其在受控条件下有效运行。过程设计是基础,相当于组织大厦的框架结构,是管理体系唯一之“体”;管理体系是基于过程策划的结果对组织大厦进行的精装修。只有将若干个不同的管理体系建立于同一个过程结构基础之上,才能称之为“一体化”管理体系。
如果将过程的输入、输出、资源、能源、信息、基线与标杆、成本与收益等过程特性称之为过程的“要素”,在过程策划的基础上建立质量管理体系就是按要求识别过程的质量特性如工艺和质量参数等、建立环境管理体系就是按要求识别过程的环境因素、建立职业健康安全管理体系就是按要求识别过程的危险源、建立信息安全管理体系就是按要求评估过程所面临的信息安全风险、建立信息技术服务管理体系就是按要求识别过程的服务级别协议,然后确定各过程的重要“要素”(如关键质量控制点、重要环境因素、重大危险源、重大风险与不可接受风险等)及其运行准则、监视与测量方法、改进措施等等,从而形成过程工作标准或规范。作用于过程的各个管理体系既彼此独立、又相互兼容,共同作用于过程,这样建立的多元一体化管理体系表面看来似乎是1+1=2,但是从实际工作量角度看一定是1+1<2,从过程管理和过程运行的有效性和效率角度看则一定是1+1>2,这样的过程控制一定能达到事半功倍的实际效果。
然而,在实际的审核过程中,我们非常遗憾地发现很多组织在管理体系建设过程中几乎忽视了过程的作用。例如:GB/T22080—2008标准0.2条款明确说明:“本标准采用过程方法来建立、实施、运行、监视、评审、保持和改进组织的ISMS”,但是一般组织在依据该标准建立信息安全管理体系时首先识别的总是资产、再针对资产进行风险评估,在整个风险评估过程中几乎体现不出组织业务过程的要求与特点。由于同一项资产可能属于不同的过程,因此其在不同过程中的作用、价值及其所面临的信息安全风险往往也是不同的,这种脱离过程的风险评估模式往往难以全面地反映资产的实际风险水平,所以其缺陷是非常明显的。
三、一体化管理体系建设过程中有关技术性问题的探讨
为了建立符合标准要求的高效一体化管理体系,不但需要对不同管理体系共性与差异化的方面进行深入研究、合理策划,保证组织中不同的管理体系在符合各自标准要求的前提下互相兼容,做到无缝衔接,而且要确保管理体系适合组织的现状特点、符合组织的整体战略发展需要。高效合理的一体化管理体系的建立一定是科学性与艺术性的完美结合。
1. 管理体系应当适合企业的文化建设需要
GB/T19001—2008标准认为:影响组织质量管理体系的一个重要因素是“组织的环境、该环境的变化以及与该环境有关的风险”。组织文化是组织环境的一个重要部分,组织的环境包括内部环境与外部环境二个方面,相应地:组织文化也包括内部文化与外部文化二个方面。ISO19001:2008标准作为发源于西方工业化国家工业企业的管理标准,必然受到西方企业文化的影响。由于GB/T19001—2008标准是等同采用ISO19001:2008标准,无法考虑东西方文
4
化的差异,所以,中国企业在依据该标准进行质量管理体系策划的时候,应该在符合标准要求的前提下,充分考虑企业自身的文化特点,为质量管理体系保留足够的“柔性”。
近三十年来,中国的经济建设取得了前所未有的成就。中国经济的成功实质上是中国企业的成功,而中国企业的成功也就是中国企业管理和中国企业家的成功。伴随着中国经济快速发展的同时,一种成功的中国式企业管理模式正在形成。由于管理体系是企业管理的一项重要内容,而标准化与创造性在某种程度上是存在矛盾的,因此,中国企业在依据标准要求进行质量管理体系策划时,应该为自己的企业及他们的企业领导者探索自己的管理模式创造条件。我们相信:植根于中华文化土壤的中国企业一定能探索出一种属于自己的优秀管理模式,也一定能培养出自己优秀的企业家,从而为中国企业和中国经济的超越式发展创造可能。
基于同样的考虑,环境、职业健康安全、信息安全、信息技术服务等管理体系的建立也需要足够的“柔性”。
2. 八项质量管理原则同样适合作为过程管理原则
GB/T19000—2008标准提出了八项质量管理原则,同时指出“本标准提出的八项质量管理原则被确定为最高管理者用于领导组织进行业绩改进的指导原则”,由此可见:八项质量管理原则不仅仅适用于质量管理、同时适用于整个组织的业绩改进管理,当然也就同样适用于过程管理,所以说:八项质量管理原则同时也是过程管理原则。
以过程管理为基础,将质量管理等以过程方法建立的管理体系溶入过程管理之中,运用八项质量管理原则促进过程和体系的持续改进,不断提高过程和体系的有效性和效率,一定能全面提高整个组织的管理水平。
3. 管理体系应当尽可能体现企业的经济效益要求
虽然GB/T19001、GB/T24001、GB/T28001、GB/T22080、GB/T24405.1等标准均没有提出管理体系对于经济效益的要求,然而,对于任何一个生产型企业而言,经济效益始终是一个非常重要、或者说是首要考虑的问题。企业对于社会的贡献首先在于其创造的社会财富,企业所承担的社会责任是以其经济效益为基础的,一个持续亏损、生计艰难的企业如何能承担更多的社会责任呢?采用过程方法进行管理的企业,对应于管理成本,过程的增值也一定可以表现为经济效益的增值。管理体系对于经济效益的增值作用可以表现为直接增值与间接增值二个方面的内容,以质量体系为例,直接增值表现为通过提高产品质量增加经济收益,间接增值表现为质量损失的减少,二者共同构成了过程的经济增值内容。如果能在企业的管理体系建设过程中体现经济效益的内容,一定会受到企业领导、员工及社会各相关方的欢迎。
4. 过程要素的识别及其控制
采用过程方法管理组织的首要任务就是识别并确定组织活动的各个过程及其要素。在审核过程中我们发现:有些企业的体系主管部门将相关工作全部下放给各个基层单位进行,各个基层单位在执行过程中又缺乏统一的工作标准,往往导致二个类似部门管理体系识别的过程及其要素存在较大的差异,给管理工作带来不便。
5
解决这类问题一个可行的方法是:由体系主管部门组织专业人员对管理体系中共性的过程及其要素进行统一识别、确认,制定通用的控制措施;各个体系执行部门只需要根据自身特点补充识别、完善那些过程中个性的内容。例如:对于一个大型钢铁冶金企业而言,起重机械的使用是比较普遍的现象,起重作业过程的质量要求、环境因素和危险源及其控制措施基本相似,可以由体系主管部门组织专业人员进行统一处理,但是吊运熔融金属的起重机械有其特殊要求,该过程的质量要求、环境因素和危险源可以由具体部门另外补充完善。这样做不但可以保证对体系共性过程及其要素的识别和控制措施的准确、全面,减少体系策划过程的总体工作量,而且可以为体系后续的管理提供方便。
5. 法律法规和其他要求的识别与应用
质量、环境、职业健康安全、信息安全、信息技术服务等管理体系均要求组织遵守适用的法律法规和其他要求,它们的区别仅在于环境与职业健康安全管理体系在标准的条款中明确要求组织识别适用的法律法规和其他要求。在审核中我们发现目前一般的做法是识别适用的法律法规条款,重视的是识别的法律法规是否全面,而对于法律法规和其他要求的应用似乎关注不够。
所有标准均要求组织应遵守适用的法律法规和其他要求,“其他要求”包括组织内部要求和外部相关方要求二个方面。组织有可能将法律法规等外部要求转化为组织的内部要求,也有可能没有进行这样的转化工作、直接执行相关的法律法规等外部要求。从过程控制角度考虑,识别法律法规和其他要求的目的是为了进行过程控制,以确保过程在受控条件下有效运行,所以,组织应尽可能将法律法规要求和其他外部要求转化为内部要求。对于组织的管理层而言,制定内部要求的管理部门应识别适用的法律法规和其他要求,并确保其目标、指标、管理制度等内部要求符合法律法规等外部相关要求;对于组织的执行层而言,他们首要的任务是执行组织内部的各项管理制度,只有在内部制度不充分的情况下,才需要识别适用的法律法规和其他要求。
识别法律法规和其他要求的目的是为了满足过程控制的需要,必须以提高实用性为前提。从过程控制的角度考虑,我们应该识别与过程要素、特别是重要过程要素控制有关的适用法律法规及其他要求。就如同任何工作都需要分清重点一样,对于组织过程识别的适用法律法规等要求,也可以根据实际工作需要分为重要的和一般的等不同类别、分类管理,而不是如目前有些组织所做的那样,仅仅列出很多的法律法规清单,对实际工作的帮助却很小。
除了法律法规及顾客要求以外,组织还需要识别哪些重要的外部要求呢?以GB/T24405.1信息技术服务管理体系为例,笔者认为组织至少还应该关注二个方面的要求:一是竞争对手的服务水平。在市场经济中,我们只有保持相对于竞争对手的优势,才能增进顾客满意;二是组织上级主管部门的要求。如果管理体系覆盖的范围仅仅是某一个大型组织的一部分,例如某大型组织的信息技术部门、或者是某大型集团公司下属的子公司或分公司,那么上级主管部门的要求就是我们在建立体系的过程中必须遵守的强制性要求。
6
6. 一体化管理体系的过程评价
GB/T19000—2008标准2.8.1条款提出了质量管理体系过程评价的如下四个方面要求:a) 过程是否已被识别并适当规定?b) 职责是否已被分配?c) 程序是否得到实施和保持?d) 在实现所要求的结果方面,过程是否有效?
GB/T19001—2008标准8.2.3条款提出了质量管理体系过程的监视和测量要求。 GB/T24001—2004标准4.5.2条款提出了环境管理体系合规性评价的要求。
GB/T28001—2011标准4.5.1条款提出了职业健康安全管理体系主动性和被动性的绩效测量、以及控制措施有效性的监视的要求;该标准4.5.2条款还同时提出了合规性评价的要求。
GB/T22080—2008标准4.2.3c条款提出了控制措施有效性测量的要求,该标准7.3e条款还进一步提出了“控制措施有效性测量方法的改进”的要求,并且将此要求作为管理评审的输出要求之一,从而充分体现了该活动的重要性。该标准附录A.15条款还同时提出了“符合性”的要求。
ISO/IEC20000-1:2011标准虽然没有明确提出过程评价的方法,但是在该标准的4.5.4.1条款中还是提出了“服务提供方应采用适当的方法来监视、测量服务管理体系和服务”的要求。
以上标准分别从不同方面、以不同方式提出了管理体系过程能力的评价方法与要求。对于采用过程方法建立一体化管理体系的组织,在进行过程策划时可以综合考虑以上标准要求,明确过程控制与测量准则;对于复杂和重要过程,可以参考GB/T19001—2008标准7.3及7.5.2条款的要求明确过程的评审、验证与确认准则。过程评价的结果应该作为一体化管理体系管理评审的输入材料,在管理评审的输出中也应该关注过程有效性及其测量方法的改进方面的要求。
2012-09-29
7
因篇幅问题不能全部显示,请点此查看更多更全内容