1 引言

    隨著市場競爭的加劇和電子商務(wù)在世界范圍內(nèi)的興起，現(xiàn)在的組織越發(fā)需要快速地對其業(yè)務(wù)服務(wù)進(jìn)行管理和變革。尤其是這些組織業(yè)務(wù)開展的程度很大一部分依賴于信息系統(tǒng)提供的服務(wù)。正因?yàn)槿绱�，一個穩(wěn)健而又靈活的IT解決方案對這些組織而言是至關(guān)重要的。為了實(shí)現(xiàn)高質(zhì)量的服務(wù)管理，組織可以借鑒使用經(jīng)過實(shí)踐證明確實(shí)行之有效的服務(wù)管理“最佳實(shí)踐”。這些實(shí)踐在英國開發(fā)的ITIL系列指南和BS 15000標(biāo)準(zhǔn)的基礎(chǔ)上，最終形成了IT服務(wù)管理體系標(biāo)準(zhǔn)(ISO/IEC 20000-1：2005，常簡稱為ISO 20000)。因此，基于ISO 20000實(shí)施IT服務(wù)管理是有堅(jiān)實(shí)可信的基礎(chǔ)。組織通過實(shí)施基于ISO 20000的IT服務(wù)管理方案可以取得的效益包括：

    (1)使IT成為有效的業(yè)務(wù)變革手段；

    (2)更好地發(fā)揮員工的作用，提高員工的工作積極性；

    (3)通過建立優(yōu)化、透明的管理流程和權(quán)責(zé)的定義，監(jiān)控管理流程、進(jìn)行績效評價，降低IT運(yùn)營的管理成本和風(fēng)險(xiǎn)；

    (4)規(guī)范業(yè)務(wù)部門的服務(wù)水平，規(guī)范工作流程，降低由人員變動導(dǎo)致的風(fēng)險(xiǎn)，并能更好地發(fā)揮員工的作用，提高員工的工作積極性；

    (5)針對與服務(wù)質(zhì)量相關(guān)的要素強(qiáng)化組織流程的設(shè)計(jì)提升IT營運(yùn)的績效；

    (6)提升公司整體運(yùn)作及部門溝通的能力。然而，由于ISO 20000是新生事物，流程眾多，如何構(gòu)建適合組織需求的IT服務(wù)管理體系是眾多組織在落實(shí)IS0 20000時必須面對的問題。部分組織有構(gòu)建IT服務(wù)的意識，但未明了IT服務(wù)管理體系構(gòu)建的目的，不知如何人手去構(gòu)建IT服務(wù)管理體系。有的簡單地把構(gòu)建體系與建立文檔等同起來，有的則生搬硬套別的組織的IT服務(wù)管理體系而不知該如何借鑒為己所用，存在著為體系而建體系，以至于構(gòu)建的IT服務(wù)管理體系在實(shí)際工作中難以流暢運(yùn)作，最終只能棄之不用。筆者從近年來與眾多組織的合作實(shí)踐中總結(jié)出一套方案，提出從本組織的IT業(yè)務(wù)人手，圍繞與組織相關(guān)的IT服務(wù)風(fēng)險(xiǎn)構(gòu)建IT服務(wù)管理體系，以確保組織業(yè)務(wù)的正常開展。由于該方法在構(gòu)建過程中考慮了組織的IT業(yè)務(wù)，是基于業(yè)務(wù)服務(wù)風(fēng)險(xiǎn)可控的目的展開的，符合組織的需要，因而能得以較好地實(shí)施。

2 風(fēng)險(xiǎn)管理和IT服務(wù)管理體系

    2.1 風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理

    風(fēng)險(xiǎn)是指某一事件發(fā)生的概率和其后果的組合，后果可以是正面或負(fù)面的。風(fēng)險(xiǎn)會影響組織目標(biāo)的實(shí)現(xiàn)。由于組織的所有活動都會涉及到風(fēng)險(xiǎn)，因此，風(fēng)險(xiǎn)管理應(yīng)貫穿于組織的各個方面，包括流程管理、職能行為、項(xiàng)目管理，以及與產(chǎn)品、服務(wù)、決策等相關(guān)的各項(xiàng)過程活動。通常說來，風(fēng)險(xiǎn)管理過程由環(huán)境信息確定、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)應(yīng)對、監(jiān)督和檢查等活動組成，其中風(fēng)險(xiǎn)評估又包括風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價等3個步驟（如圖1所示）。

圖1 風(fēng)險(xiǎn)管理過程

    2.2 IT服務(wù)管理體系

    為了提高IT服務(wù)質(zhì)量，降低IT服務(wù)成本，各類組織一直在不斷地摸索IT服務(wù)管理的規(guī)范化方法。2005年，國際標(biāo)準(zhǔn)化組織及國際電工委員會基于BS 15000發(fā)布了ISO 20000 IT服務(wù)管理體系標(biāo)準(zhǔn)。當(dāng)前，全球有越來越多的IT服務(wù)公司與機(jī)構(gòu)正在按照ISO 20000標(biāo)準(zhǔn)的要求建立、實(shí)施其服務(wù)管理體系。2009年9月，國家質(zhì)檢總局和國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息技術(shù)服務(wù)管理第1部分：規(guī)范(GB/1244051-2009/ISO/IEC20000-1:2005)》，標(biāo)志著IT服務(wù)國標(biāo)中文版的正式頒布，國內(nèi)組織有了可以借鑒的IT服務(wù)管理體系中文標(biāo)準(zhǔn)。

    IS0 20000管理規(guī)范吸取了眾多管理體系的成功實(shí)施經(jīng)驗(yàn)，采用PDCA管理模式作為IT服務(wù)管理體系持續(xù)改進(jìn)模型的基礎(chǔ)，將業(yè)務(wù)要求和客戶要求作為最主要的出發(fā)點(diǎn)和最終的著陸點(diǎn)，通過對IT服務(wù)過程的有序化管理，促使業(yè)務(wù)成果和顧客滿意的達(dá)成。

    標(biāo)準(zhǔn)的正文基本可分為管理控制、過程控制和流程控制3個部分。

    2.2.1 管理控制部分

    該部分主要由ISO20000的條款3構(gòu)成，分管理職責(zé)、文件要求和能力意識培訓(xùn)，目標(biāo)是提供一個管理體系，包括方針和框架，以有效管理和實(shí)施所有IT服務(wù)。

    2.2.2 過程控制部分

    該部分包括條款4策劃和實(shí)施服務(wù)管理和條款5策劃和實(shí)施新服務(wù)或變更的服務(wù)。條款4基于PDCA循環(huán)，從策劃服務(wù)管理、實(shí)施服務(wù)管理和提供服務(wù)、監(jiān)視、測量和評審、持續(xù)改進(jìn)出發(fā)進(jìn)行服務(wù)管理的過程控制，目標(biāo)是確定服務(wù)管理的策劃、實(shí)施、檢查和處置。條款5著眼于服務(wù)變更，目標(biāo)是確保新服務(wù)和服務(wù)的變更能按各方協(xié)商一致的成本和服務(wù)質(zhì)量交付和管理。

    2.2.3 流程控制部分

    IT服務(wù)管理的目標(biāo)是滿足業(yè)務(wù)的要求，內(nèi)容則具體落實(shí)在其定義的服務(wù)級別管理、服務(wù)報(bào)告、能力管理、服務(wù)連續(xù)性和可用性管理、信息安全管理、IT服務(wù)預(yù)算和核算、業(yè)務(wù)關(guān)系管理、供方管理、事件管理、問題管理、配置管理、變更管理、發(fā)布管理等13個流程上。

3 IT服務(wù)風(fēng)險(xiǎn)

    任何組織時刻都面臨著各式各樣的風(fēng)險(xiǎn)，對于專注于IT服務(wù)的組織來說，IT服務(wù)風(fēng)險(xiǎn)也是不可避免的。IT服務(wù)風(fēng)險(xiǎn)是指對組織的IT服務(wù)會造成負(fù)面影響的信息技術(shù)失效。

    3.1 常見的IT服務(wù)風(fēng)險(xiǎn)

    信息技術(shù)會給組織的業(yè)務(wù)帶來風(fēng)險(xiǎn)，而組織自身不良的IT管理行為也會給客戶或用戶帶來廣泛的影響。常見的IT服務(wù)風(fēng)險(xiǎn)有：

    (1)IT服務(wù)的過程風(fēng)險(xiǎn)：組織不能有效管理IT服務(wù)的各過程，不能很好地計(jì)劃、執(zhí)行，并對執(zhí)行結(jié)果進(jìn)行監(jiān)督和改進(jìn)，這將導(dǎo)致IT服務(wù)計(jì)劃失效、交付失敗、無法提供更高質(zhì)量的服務(wù)，從而對組織的1T服務(wù)造成巨大影響。

    (2) IT服務(wù)的業(yè)務(wù)風(fēng)險(xiǎn)：組織不能有效管控IT服務(wù)運(yùn)作的各種日常業(yè)務(wù)活動，導(dǎo)致IT服務(wù)運(yùn)作的中斷或服務(wù)質(zhì)量的降低，進(jìn)而造成組織IT服務(wù)水平的降低，最終影響客戶滿意度，從而導(dǎo)致組織業(yè)務(wù)的不穩(wěn)定。

    (3)IT服務(wù)的價值鏈風(fēng)險(xiǎn)：一方面，組織需要依賴供應(yīng)商提供的軟硬件等支撐IT業(yè)務(wù)；另一方面，組織業(yè)務(wù)的開展也是與具體的客戶相關(guān)的。如果此價值鏈發(fā)生斷裂，供應(yīng)商不能及時交付高質(zhì)量的服務(wù)或不能向客戶提供高質(zhì)量的服務(wù)，則整個IT服務(wù)的效用將會受到影響。

    (4)IT服務(wù)的管理風(fēng)險(xiǎn)：組織管理IT服務(wù)的能力脆弱，缺乏文檔、服務(wù)體系沒有很好的結(jié)構(gòu)化，造成服務(wù)管理困難，難以維護(hù)和難以完成預(yù)定的IT服務(wù)管理任務(wù)。

    3.2各類IT服務(wù)風(fēng)險(xiǎn)之間的關(guān)系

    理解IT服務(wù)各類風(fēng)險(xiǎn)之間的關(guān)系有助于構(gòu)建IT服務(wù)體系時避免上游的風(fēng)險(xiǎn)、消除下游的風(fēng)險(xiǎn)，在源頭上解決潛在的問題，集中精力預(yù)防而不是醫(yī)治�？傮w說來，各類IT服務(wù)風(fēng)險(xiǎn)是相互依賴和影響并相互作用的（如圖2所示）。

圖2 各類IT服務(wù)風(fēng)險(xiǎn)之間的關(guān)系

    (1)IT服務(wù)過程風(fēng)險(xiǎn)管理的缺失將導(dǎo)致難以識別完整的服務(wù)價值鏈，對業(yè)務(wù)流程的有效實(shí)施造成影響。

    (2)對IT服務(wù)價值鏈風(fēng)險(xiǎn)的管理不當(dāng)會導(dǎo)致難以區(qū)分組織的關(guān)鍵業(yè)務(wù)與一般業(yè)務(wù)，難以使有限的組織資源發(fā)揮最大的價值。

    (3)對IT服務(wù)管理風(fēng)險(xiǎn)的處置不當(dāng)會導(dǎo)致管理層難以掌控服務(wù)過程、有效執(zhí)行處理業(yè)務(wù)和識別價值鏈的各環(huán)節(jié)。

    (4)對IT服務(wù)業(yè)務(wù)風(fēng)險(xiǎn)的處置不當(dāng)會導(dǎo)致價值鏈的斷裂和管理層對IT服務(wù)業(yè)務(wù)資源提供判斷的失控。

4 IT服務(wù)風(fēng)險(xiǎn)驅(qū)動的服務(wù)體系構(gòu)建過程

    有效的IT服務(wù)風(fēng)險(xiǎn)管理能力，最重要的一點(diǎn)是要滿足組織業(yè)務(wù)需要。組織在構(gòu)建IT服務(wù)體系時要考慮戰(zhàn)略和政策、角色和責(zé)任、流程與方法等多方面的因素。在確定IT服務(wù)實(shí)施范圍的基礎(chǔ)上，組織應(yīng)采用系統(tǒng)性的方式對這些IT服務(wù)風(fēng)險(xiǎn)進(jìn)行綜合管理。目的是提升組織應(yīng)對IT服務(wù)風(fēng)險(xiǎn)的能力以有效引導(dǎo)，減少管理失控或失效對組織IT服務(wù)業(yè)務(wù)造成的負(fù)面影響。該方法的重心在于“防勝于治”，通過PDCA循環(huán)來不斷改進(jìn)組織的IT服務(wù)能力。具體地說就是通過管理的體系控制、過程的方法控制、業(yè)務(wù)的流程控制和價值鏈的關(guān)系控制來處理IT服務(wù)風(fēng)險(xiǎn)（如圖3所示）。

圖3 IT服務(wù)風(fēng)險(xiǎn)解決方案

    4.1  管理體系控制

    (1)管理控制主要是立足于IT服務(wù)的管理層面，要求管理者提供一個管理體系以有效管理和實(shí)施IT服務(wù)。為此，管理者應(yīng)確定IT服務(wù)的方針、目標(biāo)和計(jì)劃，在組織內(nèi)部傳達(dá)并引導(dǎo)員工了解和實(shí)施具體措施以滿足服務(wù)目標(biāo)和持續(xù)改進(jìn)的要求。同時，管理控制也要求管理層提供組織實(shí)施IT服務(wù)所需的各項(xiàng)資源。

    (2)簡單的語言溝通對于組織運(yùn)行來說是不夠的，為規(guī)范服務(wù)的運(yùn)行，還需要各種文件和記錄的支撐，以確保員工有章可循。為此，作為管理控制的一部分，組織應(yīng)提供與IT服務(wù)相匹配的文件體系供員工參照執(zhí)行。不僅管理控制本身，就是過程控制和流程控制也應(yīng)有相應(yīng)的文件作為指導(dǎo)。

    4.2過程方法控制

    依據(jù)PDCA的方法論，過程控制包括計(jì)劃、執(zhí)行、檢查和改進(jìn)4個部分。

    (1)計(jì)劃：在服務(wù)實(shí)施或交付前，組織應(yīng)對IT服務(wù)的范圍、目標(biāo)、要求、人員職責(zé)和過程等進(jìn)行策劃。在策劃服務(wù)時，尤其要注意組織在完成目標(biāo)時可能遇到的風(fēng)險(xiǎn)和各流程和流程間接口的銜接。

    (2)執(zhí)行：組織應(yīng)對服務(wù)計(jì)劃予以實(shí)施。實(shí)施計(jì)劃應(yīng)著重注意成本預(yù)算、角色職責(zé)、服務(wù)風(fēng)險(xiǎn)的識別和管理、團(tuán)隊(duì)管理及過程中的協(xié)作等方面。

    (3)檢查：由于計(jì)劃沒有變化快，因此，組織應(yīng)在一定的時間間隔內(nèi)對執(zhí)行情況進(jìn)行正式的檢查評審，以確定服務(wù)是否得到有效實(shí)施和保持。

    (4)改進(jìn)：對于不斷發(fā)展的組織來說，單純的計(jì)劃、執(zhí)行和檢查是遠(yuǎn)遠(yuǎn)不夠的，為確保競爭力的不斷加強(qiáng)，組織應(yīng)不斷收集服務(wù)數(shù)據(jù)并在此基礎(chǔ)上對目標(biāo)實(shí)施改進(jìn)。

    組織在開發(fā)新的IT服務(wù)或?qū)υ�有IT服務(wù)進(jìn)行變更時應(yīng)考慮成本、資源、技術(shù)、商業(yè)、驗(yàn)收準(zhǔn)則和預(yù)期結(jié)果等各方面的影響。

    4.3業(yè)務(wù)流程控制

    業(yè)務(wù)流程控制主要是控制組織對具體業(yè)務(wù)的處理過程，通常包括事件管理的控制、問題管理的控制、配置管理的控制、變更管理的控制、發(fā)布管理的控制、能力管理的控制和信息安全管理的控制7個方面。

    (1)事件管理控制：客戶在使用組織提供的IT服務(wù)時，不可避免地會遇到各種問題，作為客戶方，他們對這些問題會向組織提出幫助請求。組織應(yīng)對這些請求進(jìn)行記錄、確定優(yōu)先次序和業(yè)務(wù)影響性，并有解決和正式的關(guān)閉過程。

    (2)問題管理控制：組織應(yīng)對客戶多次提出的事件分析其原因并提出解決方案以使對組織業(yè)務(wù)的破壞最小化。

    (3)配置管理控制：為確保員工能及時獲得描述IT服務(wù)的各項(xiàng)部件，組織應(yīng)制定配置項(xiàng)及其組成部件的配置策略，將配置項(xiàng)變更置于變更管理之下。

    (4)變更管理控制：組織應(yīng)對所有的變更請求都置于可控之下，對變更進(jìn)行分類，確保與IT服務(wù)相關(guān)的所有變更得到評估、批準(zhǔn)、實(shí)施和評審。同時，考慮到組織運(yùn)行的實(shí)際情況，在制定變更計(jì)劃時應(yīng)制定回退計(jì)劃。

    (5)發(fā)布管理控制：組織應(yīng)對發(fā)布進(jìn)行控制，以在實(shí)際運(yùn)行環(huán)境的發(fā)布中，交付、分發(fā)并追蹤一個或多個變更。與變更類似，組織在發(fā)布時也應(yīng)考慮發(fā)布不成功時的回退或補(bǔ)救措施。

    (6)能力管理控制：組織應(yīng)確保在服務(wù)協(xié)議時間內(nèi)具有足夠的軟件、硬件、人員等資源滿足客戶要求。為此，組織要制定能力計(jì)劃，考慮性能、服務(wù)升級、技能等方面的情形。

    (7)信息安全管理控制：與IT服務(wù)相關(guān)的信息是僅能被相關(guān)人員獲得的。因此，組織應(yīng)在所有服務(wù)活動中有效地管理信息安全，避免安全事件對組織服務(wù)價值的實(shí)現(xiàn)造成的影響。

    4.4價值鏈關(guān)系控制

    價值鏈關(guān)系控制主要是確保IT服務(wù)滿意度等指標(biāo)滿足客戶的要求，具體說來，包括服務(wù)級別管理的控制、服務(wù)報(bào)告的控制、服務(wù)連續(xù)性和可用性管理的控制、IT服務(wù)預(yù)算與核算管理的控制、與客戶方關(guān)系管理的控制和供方管理的控制。

    (1)服務(wù)級別管理控制：不同的服務(wù)級別組織需要付出不同的資源。為此，組織應(yīng)與客戶協(xié)商，確定正式的服務(wù)級別協(xié)議，以避免雙方對IT服務(wù)交付物有不同理解。

    (2)服務(wù)報(bào)告控制：為強(qiáng)化與客戶的有效溝通，組織應(yīng)依據(jù)日常收集到的服務(wù)信息及時編制可靠和準(zhǔn)確的報(bào)告，以利雙方?jīng)Q策。

    (3)服務(wù)連續(xù)性可用性管理控制：沒有客戶會對需要服務(wù)時服務(wù)卻不可用的狀況表示滿意。為此，組織應(yīng)基于業(yè)務(wù)計(jì)劃、服務(wù)水平協(xié)議和風(fēng)險(xiǎn)評估等狀況來確定客戶的可用性和連續(xù)性需求，并在此基礎(chǔ)上制定相應(yīng)計(jì)劃，以確保各方同意的要求能得到滿足。

    (4)IT服務(wù)預(yù)算與核算管理控制：為運(yùn)行服務(wù)，組織必定會有成本支出，為有效進(jìn)行財(cái)務(wù)控制和業(yè)務(wù)決策，組織應(yīng)對支出進(jìn)行詳細(xì)預(yù)算，并檢查報(bào)告預(yù)算支出，從而管理服務(wù)供應(yīng)成本的預(yù)算和核算。

    (5)客戶方關(guān)系管理控制：沒有客戶的服務(wù)是無效的服務(wù)，對組織是無意義的。組織應(yīng)識別出服務(wù)的現(xiàn)實(shí)和潛在客戶，努力建立并保持與客戶的良好關(guān)系。組織應(yīng)建立正式的渠道以處理客戶的不滿或投訴。

    (6)供方管理控制：通常說來，組織向客戶提供的IT服務(wù)只是IT價值鏈上的一環(huán)。為確保整個價值鏈能順利實(shí)現(xiàn)，組織應(yīng)確保上游的供方能提供合適的設(shè)施以供服務(wù)使用。為此，組織應(yīng)加強(qiáng)供方管理，確保提供無縫的和高質(zhì)量的服務(wù)。

5 結(jié)語

    當(dāng)前，組織業(yè)務(wù)的很大一部分依賴于其IT系統(tǒng)來提供使客戶滿意的服務(wù)。因此，一個穩(wěn)健而又靈活的IT服務(wù)解決方案對組織而言是至關(guān)重要的。為了實(shí)現(xiàn)高質(zhì)量的服務(wù)管理，許多組織常常借鑒IT服務(wù)管理體系標(biāo)準(zhǔn)（ISO/IEC 20000-1:2005，常簡稱為ISO 20000）。然而，由于ISO 20000是新生事物，組織難以構(gòu)建適合自身需要的IT服務(wù)管理體系。考慮到IT服務(wù)管理體系的提出是為解決IT服務(wù)時面臨的各種風(fēng)險(xiǎn)的，為此，可從組織的IT業(yè)務(wù)人手，通過管理的體系控制、過程的方法控制、業(yè)務(wù)的流程控制和價值鏈的關(guān)系控制來處理IT服務(wù)風(fēng)險(xiǎn)，進(jìn)而構(gòu)建符合實(shí)踐標(biāo)準(zhǔn)的IT服務(wù)管理體系，以確保組織業(yè)務(wù)的正常開展。由于該方法在構(gòu)建過程中緊密考慮了組織的IT業(yè)務(wù)，是基于業(yè)務(wù)風(fēng)險(xiǎn)可控的目的開展的，符合組織的需要，因而能得以較好地實(shí)施。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：基于風(fēng)險(xiǎn)驅(qū)動的IT服務(wù)管理體系構(gòu)建

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083936112.html