多体系整合实施方案在企业管理中的运用

[摘 要]本文分析多体系独立运行存在的问题，并整合企业内部运行的各个体系，形成统一的管理体系。

[关键词]多体系；整合；实施方案

doi：10.3969/j.issn.1673 - 0194.2015.16.094

[中图分类号]F279.23 [文献标识码]A [文章编号]1673-0194（2015）16-0-01

1 多体系独立运行存在的问题

公司内通常有多个体系同时并存，如质量管理体系ISO 9001、职业健康体系ISO 18000、环境管理体系ISO 140000、信息安全管理体系ISO 27001、IT服务管理体系ISO 20000以及信息安全资质等，让这些体系“和平共处”非常重要。如不能很好地解决这些体系的共存问题，各个体系将出现“打架”现象，轻则体系运行出现障碍，重则会让整个公司管理体系运行陷入瘫痪状态。

在一些公司中，由于历史原因，多个体系分别独立运行，或者仅有少量体系简单整合，这给体系的良好运转带来极大挑战。

1.1 过程文件 “打架”

同样的事情，可能有多个不同的文件约定，如“培训管理制度”在多个“体系”中同时存在，不同的“体系”中“培训管理制度”因特定体系的要求不同，其内容亦存在差异，如在ISO 20000体系中的“培训管理制度”规定每年年底收集培训需求并制订来年培训计划，而ISO 27001体系中规定每年年初收集培训需求并制订培训计划。这会引起培训专员在实施培训时的困惑，不确定究竟要按照哪个“培训管理制度”执行。

1.2 过程难以实施

各个标准体系，其视角不同，对应的约定不同，但这些约定可能是针对公司同一个业务的不同方面，如在体系中不加以整合，则其实施会遇到很大挑战。如基于ISO 9001，公司制订了项目管理过程，针对项目从立项到结项的一列过程，而公司可能在ISO 27001中的“信息安全管理制度”中，根据ISO 27001附录A6.1.5中有关对项目管理中信息安全要求，做出在项目实施过程中的信息安全要求“在项目实施计划中，采用风险分析方法，分析项目信息安全风险，并根据分析结果，制订信息安全实施措施”。这导致在业务过程中没有规定其实施要求，这些要求反而分散在体系中各个不起眼的过程中，过程实施者在实施时很难联想到这些规定，也无法很好地实施这些规定。

2 多体系整合实施思路

多体系整合基本上分4步进行。

2.1 合并同类项

这一步相对简单，将相同的过程合并成同一个过程，如多个体系均有“培训管理制度”，则保留其中一个就可以。

如果在多个体系中，有相同的管理制度，则保留一个即可，如这些约定有少量不同，则检查不同点在哪里。不同点一般有两种情况：一种是各个体系分别增加的，互不影响的约定，如ISO 20000“培训管理制度”中有关培训内容部分约定需要做IT服务意识培训，而在ISO 27001中相应内容则约定需要做信息安全培训，则只需要将这些约定整合在一起即可。另外一种情况是有冲突的约定，此时需要仔细分析甄别，取其中的合理成分。

如果在多个体系中，针对不同的业务，有类似的管理制度，则需将相同的内容加以整合，如公司系统集成有“系统集成项目实施制度”，软件开发有“软件开发项目实施制度”，运维服务有“运维服务项目实施管理制度”，这些项目实施管理制度，表面上看有诸多不同，但实际上，除部分细节差异外，其管理过程基本上完全一致，对其进行分析、整合，形成统一的、满足公司所有项目实施的“项目管理制度”，有利于公司的过程规范和执行。

2.2 交叉融合

在该步骤中，将同一个过程中的不同约定，整合在一起，方便过程的执行。

如ISO 27001附录A6.1.5中有关对项目管理中信息安全要求，不再独立形成文件另行规定，而是整合在公司的“项目管理制度”中。

在该步骤中，实施的重点在于如何将不同文件的不同规定整合在一起。

2.3 过程验证

对每个过程，针对公司的实际情况进行演练和验证，确保各个过程符合公司现状，过程定义规范、完整、可行。

2.4 过程对标

将整合好的管理体系，按照各ISO体系资质要求，找出每个标准、每个条款对应的过程文件，形成《标准条款对应一览表》，以确认体系符合各个标准。

如该步骤不能通过，则返回第三步。

3 多体系整合实施计划

由于每个企业现状不同，其整合要求也不同，所以多体系整合实施周期也会有所不同。一般情况下，整合周期可安排在2～6个月，表1为中小企业多体系整合计划。