独家 | ISO 20000:2018标准中“内部供应商”概念辨析

发布日期：2023-06-02 作者：点击：

审核员在依据ISO 20000-1:2018《信息技术服务管理要求》中的内部供应商条款审核时易产生困扰，本文梳理了ISO 20000三个版本标准中内部供应商概念的发展过程，对其内涵和外延进行了解读，对审核中常见的内部供应商的情形进行了分析，辨析了内部供应商相关的概念，提出了改进建议。

内部供应商管理是ISO 20000-1:2018《信息技术服务管理要求》中8.3.4.2条款的要求。在审核过程中，不同认证机构、不同审核员对内部供应商概念的理解不完全一样，不同组织的内部供应商情形也有很大差异。目前，尚没有权威机构对内部供应商的相关问题给予明确解释，需要审核员对照ISO 20000相关标准，理清内部供应商的概念，明确各种情形下内部供应商如何判定。

一
不同版本标准中内部供应商概念的变迁

1.ISO 20000-1:2005版标准之内部供应商概念

ISO 20000-1:2005版标准中已有7.3“供应商管理”条款[1]，但没有明确提出内部供应商的概念，也没有与内部供应商相关的术语。在ISO 20000-2:2005实践指南6.1.4“支持服务的协议”中提到了内部组[2]，7.1“关系过程概述”中提到了“服务提供方组织内部的供方”，这两个概念是内部供应商概念的雏形。

2. ISO 20000-1:2011版标准之内部供应商概念

ISO 20000-1:2011版标准中有7.2“供应商管理”条款，有供应商的术语，但没有区分内部供应商和外部供应商。ISO 20000-1:2011版标准在3.14中提出了内部团体（internal group）的概念[3]，ISO 20000-2:2012应用指南7.2“供应商管理”指出“服务提供方可以将内部团体和顾客当作供应商进行管理[4]”。

解读相关定义，2011版标准“内部团体”概念是对2005版标准“提供部分服务的内部组”和“服务提供方组织内部的供方”两个概念的整合。内部团体必须满足两个条件，一是“服务提供方组织的一部分”，二是 “处于服务提供方的服务管理体系的范围之外” 。

ISO20000-1:2011版标准中涉及“内部团体”管理的条款主要有两处，分别在4.2“治理由其他方运行的过程”和6.1“服务级别管理”，7.2“供应商管理”条款未涉及内部团体。

3. ISO 20000-1:2018版标准之内部供应商概念

ISO 20000-1:2018版标准正式提出了内部供应商（internal supplier）的概念，并列为术语。在标准“前言”中专门指出此“内部供应商”概念系取代2011版标准中的“内部团体”概念[5]。

2018版标准内部供应商概念的定义比2011版更加细化，ISO 20000-2:2019实践指南没有对内部供应商的概念和适用作出进一步的说明。

通过解读定义发现，内部供应商主要针对大型组织而言，必须既是大型组织中服务管理体系（SMS）范围之外的一部分，又与SMS范围内的组织同属于一个大型组织的一部分。在SMS范围之内的组织，或者大型组织之外的组织，都不属于内部供应商。由于大型组织并没有明确界定，审核实践中一般将组织规模的条件淡化，对小规模组织也予以认可。

可用图1描述各组织之间的关系，内部供应商处于大圆内阴影部分之外区域之中。

二

内部供应商各种情形辨析

在实际审核过程中，企业的情况各异，内部供应商也会有不同的情形。常见情形如下。

1.组织的全部部门都包含在SMS范围内

图2所示为在审核中最常见的情形。一个企业，不属于任何集团，没有母公司，也没有子公司，公司内所有部门都包含在SMS范围内。这种情况下，SMS的范围即是整个组织的范围，SMS范围外的组织即是外部组织，没有内部供应商。

6.2-1.png

2.组织的部分部门包含在SMS范围内

图3所示为部门较多企业常见的情形。一个企业，不属于任何集团，没有母公司，也没有子公司。公司部分部门在SMS范围内，其他部门在SMS范围外。这种情况下，公司SMS范围外部门如果给SMS范围内部门提供服务，属于内部供应商。

6.2-2.png

3.大型组织的部分组织包含在SMS范围内

图4所示情形常见于集团公司下属多个子公司，子公司只有具体业务部门，集团公司的基础设施、人力资源、财务等平台部门为各个子公司提供服务。被审核的企业是某个子公司，其全部部门都在SMS范围内。这是标准中内部供应商概念的典型应用场景。这种情况下，集团公司的平台部门以及其他子公司如果为SMS范围内子公司提供服务，则属于此子公司的内部供应商。

6.2-3.png

4.投资关系形成的组织之间作为供应商

一个控股公司，投资参股若干家公司，各公司独立运营。如果其中的A公司建立了SMS，B公司作为A公司的供应商， A、B公司虽有一定的资本关联，但不属于同一家大型组织，不属于内部供应商，认定为外部供应商比较合适。

6.2-4.png

三

相关概念辨析

1.内部供应商与外部供应商的区别

外部供应商指与SMS范围内组织没有任何隶属关系、兄弟关系或只有一些较弱资本关系的供应商，必须用正式合同明确双方责任义务，以备发生争议时诉诸法律。内部供应商则因为与SMS范围内组织有较强关联关系，可以不必签署正式合同，如有争议内部解决。

2.内部供应商与SMS范围内部门的区别

SMS范围内部门之间互相提供服务，属于体系内职责分工，不属于内部供应商。

实际审核中经常遇见第二部分所述的第一种情形，属于没有内部供应商，为了避免出现条款删减情况，有的审核员会把SMS范围内部门认定为内部供应商。但是，按照标准的要求，如果将其认定为内部供应商，内部部门间就应签订文件化协议，定义服务级别目标、双方之间的接口，并按计划的时间间隔进行监视、评审。这种要求是不现实的，不符合企业运营实际，也不是标准的原意。

另一种常见情形是第二部分所述的第二种情形，组织部门较多，部分未纳入SMS范围内，这是标准允许的。这些体系外部门，如果为体系内部门提供服务，应认定为内部供应商，但审核时却常常让这些部门隐身，没作为内部供应商对待。

第二部分所述的第三种情形也常遇到，存在的问题是未把典型的内部供应商（如集团人力、财务、基础设施管理部门）作为内部供应商对待，而是把这些部门硬性纳入体系内部门，与企业的实际情况不符，造成审核的失效。

四

结论

在审核过程中，内部供应商存在很多认定上的困难。将体系内部门认定为内部供应商，会增加企业不必要的管理成本，制定的管理措施也会流于形式，无法实施。认定企业没有内部供应商，又涉及是否删减条款的问题。这些问题如何处理，目前没有统一的标准，各认证机构自己认定，建议有关部门进行研究，给出明确的审核指南。也建议有关部门向国际标准化组织提出建议，在修订ISO 20000标准时，对内部供应商的概念和适用作出进一步的说明。

免责声明：本文部分内容根据网络信息整理，文章版权归原作者所有。向原作者致敬！推送旨在积善利他，如涉及作品内容、版权和其它问题，请跟我们联系删除！

[参考文献]

[1]国际标准化组织/国际电工委员会. ISO/IEC 20000-1:2005 信息技术服务管理第1部分：规范 [S]. 北京：中国标准出版社，2009:8.

[2]国际标准化组织/国际电工委员会. ISO/IEC 20000-2:2005 信息技术服务管理第2部分：实践规则[S]. 北京：中国标准出版社， 2009：7-11.

[3]国际标准化组织/国际电工委员会. ISO/IEC 20000-1：2011 信息技术服务管理第1部分：服务管理体系要求[S]. 中国电子技术标准化研究院，2013：8.

[4]国际标准化组织/国际电工委员会. ISO/IEC 20000-2:2012 信息技术服务管理第2部分：服务管理体系应用指南 [S]. 中国电子技术标准化研究院，2013：82.

[5]国际标准化组织/国际电工委员会. ISO/IEC 20000-1:2018 信息技术服务管理第1部分：服务管理体系要求[S]. 中国电子技术标准化研究院，2020：6.

本文网址：http://www.sdsxb.com/news/806.html

关键词：ISO20000,信息技术服务管理体系,信息安全管理体系

上一篇：ISO认证证书上常见的认可标志
下一篇：质量管理七大原则，每一条都是管理精髓

行业动态

热门关键词

联系我们