审核员在依据ISO 20000-1:2018《信息技术 服务管理要求》中的内部供应商条款审核时易产生困扰,本文梳理了ISO20000三个版本标准中内部供应商概念的发展过程,对其内涵和外延进行了解读,对审核中常见的内部供应商的情形进行了分析,辨析了内部供应商相关的概念,提出了改进建议。
内部供应商管理是ISO 20000-1:2018《信息技术服务管理要求》中8.3.4.2条款的要求。在审核过程中,不同认证机构、不同审核员对内部供应商概念的理解不完全一样,不同组织的内部供应商情形也有很大差异。目前,尚没有quanwei机构对内部供应商的相关问题给予明确解释,需要审核员对照ISO20000相关标准,理清内部供应商的概念,明确各种情形下内部供应商如何判定。
一
不同版本标准中内部供应商概念的变迁
1.ISO 20000-1:2005版标准之内部供应商概念
ISO20000-1:2005版标准中已有7.3“供应商管理”条款[1],但没有明确提出内部供应商的概念,也没有与内部供应商相关的术语。在ISO20000-2:2005实践指南6.1.4“支持服务的协议”中提到了内部组[2],7.1“关系过程概述”中提到了“服务提供方组织内部的供方”,这两个概念是内部供应商概念的雏形。
2. ISO 20000-1:2011版标准之内部供应商概念
ISO 20000-1:2011版标准中有7.2“供应商管理”条款,有供应商的术语,但没有区分内部供应商和外部供应商。ISO20000-1:2011版标准在3.14中提出了内部团体(internal group)的概念[3],ISO20000-2:2012应用指南7.2“供应商管理”指出“服务提供方可以将内部团体和顾客当作供应商进行管理[4]”。
解读相关定义,2011版标准“内部团体”概念是对2005版标准“提供部分服务的内部组”和“服务提供方组织内部的供方”两个概念的整合。内部团体必须满足两个条件,一是“服务提供方组织的一部分”,二是“处于服务提供方的服务管理体系的范围之外” 。
ISO20000-1:2011版标准中涉及“内部团体”管理的条款主要有两处,分别在4.2“治理由其他方运行的过程”和6.1“服务级别管理”,7.2“供应商管理”条款未涉及内部团体。
3. ISO 20000-1:2018版标准之内部供应商概念
ISO 20000-1:2018版标准正式提出了内部供应商(internalsupplier)的概念,并列为术语。在标准“前言”中专门指出此“内部供应商”概念系取代2011版标准中的“内部团体”概念[5]。
2018版标准内部供应商概念的定义比2011版更加细化,ISO20000-2:2019实践指南没有对内部供应商的概念和适用作出的说明。
通过解读定义发现,内部供应商主要针对大型组织而言,必须既是大型组织中服务管理体系(SMS)范围之外的一部分,又与SMS范围内的组织同属于一个大型组织的一部分。在SMS范围之内的组织,或者大型组织之外的组织,都不属于内部供应商。由于大型组织并没有明确界定,审核实践中一般将组织规模的条件淡化,对小规模组织也予以认可。
可用图1描述各组织之间的关系,内部供应商处于大圆内阴影部分之外区域之中。
二
内部供应商各种情形辨析
在实际审核过程中,企业的情况各异,内部供应商也会有不同的情形。常见情形如下。
1.组织的全部部门都包含在SMS范围内
图2所示为在审核中Zui常见的情形。一个企业,不属于任何集团,没有母公司,也没有子公司,公司内所有部门都包含在SMS范围内。这种情况下,SMS的范围即是整个组织的范围,SMS范围外的组织即是外部组织,没有内部供应商。
2.组织的部分部门包含在SMS范围内
图3所示为部门较多企业常见的情形。一个企业,不属于任何集团,没有母公司,也没有子公司。公司部分部门在SMS范围内,其他部门在SMS范围外。这种情况下,公司SMS范围外部门如果给SMS范围内部门提供服务,属于内部供应商。
3.大型组织的部分组织包含在SMS范围内
图4所示情形常见于集团公司下属多个子公司,子公司只有具体业务部门,集团公司的基础设施、人力资源、财务等平台部门为各个子公司提供服务。被审核的企业是某个子公司,其全部部门都在SMS范围内。这是标准中内部供应商概念的典型应用场景。这种情况下,集团公司的平台部门以及其他子公司如果为SMS范围内子公司提供服务,则属于此子公司的内部供应商。
4.投资关系形成的组织之间作为供应商
一个控股公司,投资参股若干家公司,各公司独立运营。如果其中的A公司建立了SMS,B公司作为A公司的供应商,A、B公司虽有一定的资本关联,但不属于同一家大型组织,不属于内部供应商,认定为外部供应商比较合适。
三
相关概念辨析
1.内部供应商与外部供应商的区别
外部供应商指与SMS范围内组织没有任何隶属关系、兄弟关系或只有一些较弱资本关系的供应商,必须用正式合同明确双方责任义务,以备发生争议时诉诸法律。内部供应商则因为与SMS范围内组织有较强关联关系,可以不必签署正式合同,如有争议内部解决。
2.内部供应商与SMS范围内部门的区别
SMS范围内部门之间互相提供服务,属于体系内职责分工,不属于内部供应商。
实际审核中经常遇见第二部分所述的第一种情形,属于没有内部供应商,为了避免出现条款删减情况,有的审核员会把SMS范围内部门认定为内部供应商。按照标准的要求,如果将其认定为内部供应商,内部部门间就应签订文件化协议,定义服务级别目标、双方之间的接口,并按计划的时间间隔进行监视、评审。这种要求是不现实的,不符合企业运营实际,也不是标准的原意。
另一种常见情形是第二部分所述的第二种情形,组织部门较多,部分未纳入SMS范围内,这是标准允许的。这些体系外部门,如果为体系内部门提供服务,应认定为内部供应商,但审核时却常常让这些部门隐身,没作为内部供应商对待。
第二部分所述的第三种情形也常遇到,存在的问题是未把典型的内部供应商(如集团人力、财务、基础设施管理部门)作为内部供应商对待,而是把这些部门硬性纳入体系内部门,与企业的实际情况不符,造成审核的失效。
四
结论
在审核过程中,内部供应商存在很多认定上的困难。将体系内部门认定为内部供应商,会增加企业不必要的管理成本,制定的管理措施也会流于形式,无法实施。认定企业没有内部供应商,又涉及是否删减条款的问题。这些问题如何处理,目前没有统一的标准,各认证机构自己认定,建议有关部门进行研究,给出明确的审核指南。也建议有关部门向guojibiaozhun化组织提出建议,在修订ISO20000标准时,对内部供应商的概念和适用作出的说明。
