1 引言
隨著市場競爭的加劇和電子商務在世界范圍內(nèi)的興起,現(xiàn)在的組織越發(fā)需要快速地對其業(yè)務服務進行管理和變革。尤其是這些組織業(yè)務開展的程度很大一部分依賴于信息系統(tǒng)提供的服務。正因為如此,一個穩(wěn)健而又靈活的IT解決方案對這些組織而言是至關(guān)重要的。為了實現(xiàn)高質(zhì)量的服務管理,組織可以借鑒使用經(jīng)過實踐證明確實行之有效的服務管理“最佳實踐”。這些實踐在英國開發(fā)的ITIL系列指南和BS 15000標準的基礎上,最終形成了IT服務管理體系標準(ISO/IEC 20000-1:2005,常簡稱為ISO 20000)。因此,基于ISO 20000實施IT服務管理是有堅實可信的基礎。組織通過實施基于ISO 20000的IT服務管理方案可以取得的效益包括:
(1)使IT成為有效的業(yè)務變革手段;
(2)更好地發(fā)揮員工的作用,提高員工的工作積極性;
(3)通過建立優(yōu)化、透明的管理流程和權(quán)責的定義,監(jiān)控管理流程、進行績效評價,降低IT運營的管理成本和風險;
(4)規(guī)范業(yè)務部門的服務水平,規(guī)范工作流程,降低由人員變動導致的風險,并能更好地發(fā)揮員工的作用,提高員工的工作積極性;
(5)針對與服務質(zhì)量相關(guān)的要素強化組織流程的設計提升IT營運的績效;
(6)提升公司整體運作及部門溝通的能力。然而,由于ISO 20000是新生事物,流程眾多,如何構(gòu)建適合組織需求的IT服務管理體系是眾多組織在落實IS0 20000時必須面對的問題。部分組織有構(gòu)建IT服務的意識,但未明了IT服務管理體系構(gòu)建的目的,不知如何人手去構(gòu)建IT服務管理體系。有的簡單地把構(gòu)建體系與建立文檔等同起來,有的則生搬硬套別的組織的IT服務管理體系而不知該如何借鑒為己所用,存在著為體系而建體系,以至于構(gòu)建的IT服務管理體系在實際工作中難以流暢運作,最終只能棄之不用。筆者從近年來與眾多組織的合作實踐中總結(jié)出一套方案,提出從本組織的IT業(yè)務人手,圍繞與組織相關(guān)的IT服務風險構(gòu)建IT服務管理體系,以確保組織業(yè)務的正常開展。由于該方法在構(gòu)建過程中考慮了組織的IT業(yè)務,是基于業(yè)務服務風險可控的目的展開的,符合組織的需要,因而能得以較好地實施。
2 風險管理和IT服務管理體系
2.1 風險和風險管理
風險是指某一事件發(fā)生的概率和其后果的組合,后果可以是正面或負面的。風險會影響組織目標的實現(xiàn)。由于組織的所有活動都會涉及到風險,因此,風險管理應貫穿于組織的各個方面,包括流程管理、職能行為、項目管理,以及與產(chǎn)品、服務、決策等相關(guān)的各項過程活動。通常說來,風險管理過程由環(huán)境信息確定、風險評估、風險應對、監(jiān)督和檢查等活動組成,其中風險評估又包括風險識別、風險分析和風險評價等3個步驟(如圖1所示)。
圖1 風險管理過程
2.2 IT服務管理體系
為了提高IT服務質(zhì)量,降低IT服務成本,各類組織一直在不斷地摸索IT服務管理的規(guī)范化方法。2005年,國際標準化組織及國際電工委員會基于BS 15000發(fā)布了ISO 20000 IT服務管理體系標準。當前,全球有越來越多的IT服務公司與機構(gòu)正在按照ISO 20000標準的要求建立、實施其服務管理體系。2009年9月,國家質(zhì)檢總局和國家標準化管理委員會發(fā)布的《信息技術(shù)服務管理第1部分:規(guī)范(GB/1244051-2009/ISO/IEC20000-1:2005)》,標志著IT服務國標中文版的正式頒布,國內(nèi)組織有了可以借鑒的IT服務管理體系中文標準。
IS0 20000管理規(guī)范吸取了眾多管理體系的成功實施經(jīng)驗,采用PDCA管理模式作為IT服務管理體系持續(xù)改進模型的基礎,將業(yè)務要求和客戶要求作為最主要的出發(fā)點和最終的著陸點,通過對IT服務過程的有序化管理,促使業(yè)務成果和顧客滿意的達成。
標準的正文基本可分為管理控制、過程控制和流程控制3個部分。
2.2.1 管理控制部分
該部分主要由ISO20000的條款3構(gòu)成,分管理職責、文件要求和能力意識培訓,目標是提供一個管理體系,包括方針和框架,以有效管理和實施所有IT服務。
2.2.2 過程控制部分
該部分包括條款4策劃和實施服務管理和條款5策劃和實施新服務或變更的服務。條款4基于PDCA循環(huán),從策劃服務管理、實施服務管理和提供服務、監(jiān)視、測量和評審、持續(xù)改進出發(fā)進行服務管理的過程控制,目標是確定服務管理的策劃、實施、檢查和處置。條款5著眼于服務變更,目標是確保新服務和服務的變更能按各方協(xié)商一致的成本和服務質(zhì)量交付和管理。
2.2.3 流程控制部分
IT服務管理的目標是滿足業(yè)務的要求,內(nèi)容則具體落實在其定義的服務級別管理、服務報告、能力管理、服務連續(xù)性和可用性管理、信息安全管理、IT服務預算和核算、業(yè)務關(guān)系管理、供方管理、事件管理、問題管理、配置管理、變更管理、發(fā)布管理等13個流程上。
3 IT服務風險
任何組織時刻都面臨著各式各樣的風險,對于專注于IT服務的組織來說,IT服務風險也是不可避免的。IT服務風險是指對組織的IT服務會造成負面影響的信息技術(shù)失效。
3.1 常見的IT服務風險
信息技術(shù)會給組織的業(yè)務帶來風險,而組織自身不良的IT管理行為也會給客戶或用戶帶來廣泛的影響。常見的IT服務風險有:
(1)IT服務的過程風險:組織不能有效管理IT服務的各過程,不能很好地計劃、執(zhí)行,并對執(zhí)行結(jié)果進行監(jiān)督和改進,這將導致IT服務計劃失效、交付失敗、無法提供更高質(zhì)量的服務,從而對組織的1T服務造成巨大影響。
(2) IT服務的業(yè)務風險:組織不能有效管控IT服務運作的各種日常業(yè)務活動,導致IT服務運作的中斷或服務質(zhì)量的降低,進而造成組織IT服務水平的降低,最終影響客戶滿意度,從而導致組織業(yè)務的不穩(wěn)定。
(3)IT服務的價值鏈風險:一方面,組織需要依賴供應商提供的軟硬件等支撐IT業(yè)務;另一方面,組織業(yè)務的開展也是與具體的客戶相關(guān)的。如果此價值鏈發(fā)生斷裂,供應商不能及時交付高質(zhì)量的服務或不能向客戶提供高質(zhì)量的服務,則整個IT服務的效用將會受到影響。
(4)IT服務的管理風險:組織管理IT服務的能力脆弱,缺乏文檔、服務體系沒有很好的結(jié)構(gòu)化,造成服務管理困難,難以維護和難以完成預定的IT服務管理任務。
3.2各類IT服務風險之間的關(guān)系
理解IT服務各類風險之間的關(guān)系有助于構(gòu)建IT服務體系時避免上游的風險、消除下游的風險,在源頭上解決潛在的問題,集中精力預防而不是醫(yī)治?傮w說來,各類IT服務風險是相互依賴和影響并相互作用的(如圖2所示)。
圖2 各類IT服務風險之間的關(guān)系
(1)IT服務過程風險管理的缺失將導致難以識別完整的服務價值鏈,對業(yè)務流程的有效實施造成影響。
(2)對IT服務價值鏈風險的管理不當會導致難以區(qū)分組織的關(guān)鍵業(yè)務與一般業(yè)務,難以使有限的組織資源發(fā)揮最大的價值。
(3)對IT服務管理風險的處置不當會導致管理層難以掌控服務過程、有效執(zhí)行處理業(yè)務和識別價值鏈的各環(huán)節(jié)。
(4)對IT服務業(yè)務風險的處置不當會導致價值鏈的斷裂和管理層對IT服務業(yè)務資源提供判斷的失控。
4 IT服務風險驅(qū)動的服務體系構(gòu)建過程
有效的IT服務風險管理能力,最重要的一點是要滿足組織業(yè)務需要。組織在構(gòu)建IT服務體系時要考慮戰(zhàn)略和政策、角色和責任、流程與方法等多方面的因素。在確定IT服務實施范圍的基礎上,組織應采用系統(tǒng)性的方式對這些IT服務風險進行綜合管理。目的是提升組織應對IT服務風險的能力以有效引導,減少管理失控或失效對組織IT服務業(yè)務造成的負面影響。該方法的重心在于“防勝于治”,通過PDCA循環(huán)來不斷改進組織的IT服務能力。具體地說就是通過管理的體系控制、過程的方法控制、業(yè)務的流程控制和價值鏈的關(guān)系控制來處理IT服務風險(如圖3所示)。
圖3 IT服務風險解決方案
4.1 管理體系控制
(1)管理控制主要是立足于IT服務的管理層面,要求管理者提供一個管理體系以有效管理和實施IT服務。為此,管理者應確定IT服務的方針、目標和計劃,在組織內(nèi)部傳達并引導員工了解和實施具體措施以滿足服務目標和持續(xù)改進的要求。同時,管理控制也要求管理層提供組織實施IT服務所需的各項資源。
(2)簡單的語言溝通對于組織運行來說是不夠的,為規(guī)范服務的運行,還需要各種文件和記錄的支撐,以確保員工有章可循。為此,作為管理控制的一部分,組織應提供與IT服務相匹配的文件體系供員工參照執(zhí)行。不僅管理控制本身,就是過程控制和流程控制也應有相應的文件作為指導。
4.2過程方法控制
依據(jù)PDCA的方法論,過程控制包括計劃、執(zhí)行、檢查和改進4個部分。
(1)計劃:在服務實施或交付前,組織應對IT服務的范圍、目標、要求、人員職責和過程等進行策劃。在策劃服務時,尤其要注意組織在完成目標時可能遇到的風險和各流程和流程間接口的銜接。
(2)執(zhí)行:組織應對服務計劃予以實施。實施計劃應著重注意成本預算、角色職責、服務風險的識別和管理、團隊管理及過程中的協(xié)作等方面。
(3)檢查:由于計劃沒有變化快,因此,組織應在一定的時間間隔內(nèi)對執(zhí)行情況進行正式的檢查評審,以確定服務是否得到有效實施和保持。
(4)改進:對于不斷發(fā)展的組織來說,單純的計劃、執(zhí)行和檢查是遠遠不夠的,為確保競爭力的不斷加強,組織應不斷收集服務數(shù)據(jù)并在此基礎上對目標實施改進。
組織在開發(fā)新的IT服務或?qū)υ蠭T服務進行變更時應考慮成本、資源、技術(shù)、商業(yè)、驗收準則和預期結(jié)果等各方面的影響。
4.3業(yè)務流程控制
業(yè)務流程控制主要是控制組織對具體業(yè)務的處理過程,通常包括事件管理的控制、問題管理的控制、配置管理的控制、變更管理的控制、發(fā)布管理的控制、能力管理的控制和信息安全管理的控制7個方面。
(1)事件管理控制:客戶在使用組織提供的IT服務時,不可避免地會遇到各種問題,作為客戶方,他們對這些問題會向組織提出幫助請求。組織應對這些請求進行記錄、確定優(yōu)先次序和業(yè)務影響性,并有解決和正式的關(guān)閉過程。
(2)問題管理控制:組織應對客戶多次提出的事件分析其原因并提出解決方案以使對組織業(yè)務的破壞最小化。
(3)配置管理控制:為確保員工能及時獲得描述IT服務的各項部件,組織應制定配置項及其組成部件的配置策略,將配置項變更置于變更管理之下。
(4)變更管理控制:組織應對所有的變更請求都置于可控之下,對變更進行分類,確保與IT服務相關(guān)的所有變更得到評估、批準、實施和評審。同時,考慮到組織運行的實際情況,在制定變更計劃時應制定回退計劃。
(5)發(fā)布管理控制:組織應對發(fā)布進行控制,以在實際運行環(huán)境的發(fā)布中,交付、分發(fā)并追蹤一個或多個變更。與變更類似,組織在發(fā)布時也應考慮發(fā)布不成功時的回退或補救措施。
(6)能力管理控制:組織應確保在服務協(xié)議時間內(nèi)具有足夠的軟件、硬件、人員等資源滿足客戶要求。為此,組織要制定能力計劃,考慮性能、服務升級、技能等方面的情形。
(7)信息安全管理控制:與IT服務相關(guān)的信息是僅能被相關(guān)人員獲得的。因此,組織應在所有服務活動中有效地管理信息安全,避免安全事件對組織服務價值的實現(xiàn)造成的影響。
4.4價值鏈關(guān)系控制
價值鏈關(guān)系控制主要是確保IT服務滿意度等指標滿足客戶的要求,具體說來,包括服務級別管理的控制、服務報告的控制、服務連續(xù)性和可用性管理的控制、IT服務預算與核算管理的控制、與客戶方關(guān)系管理的控制和供方管理的控制。
(1)服務級別管理控制:不同的服務級別組織需要付出不同的資源。為此,組織應與客戶協(xié)商,確定正式的服務級別協(xié)議,以避免雙方對IT服務交付物有不同理解。
(2)服務報告控制:為強化與客戶的有效溝通,組織應依據(jù)日常收集到的服務信息及時編制可靠和準確的報告,以利雙方?jīng)Q策。
(3)服務連續(xù)性可用性管理控制:沒有客戶會對需要服務時服務卻不可用的狀況表示滿意。為此,組織應基于業(yè)務計劃、服務水平協(xié)議和風險評估等狀況來確定客戶的可用性和連續(xù)性需求,并在此基礎上制定相應計劃,以確保各方同意的要求能得到滿足。
(4)IT服務預算與核算管理控制:為運行服務,組織必定會有成本支出,為有效進行財務控制和業(yè)務決策,組織應對支出進行詳細預算,并檢查報告預算支出,從而管理服務供應成本的預算和核算。
(5)客戶方關(guān)系管理控制:沒有客戶的服務是無效的服務,對組織是無意義的。組織應識別出服務的現(xiàn)實和潛在客戶,努力建立并保持與客戶的良好關(guān)系。組織應建立正式的渠道以處理客戶的不滿或投訴。
(6)供方管理控制:通常說來,組織向客戶提供的IT服務只是IT價值鏈上的一環(huán)。為確保整個價值鏈能順利實現(xiàn),組織應確保上游的供方能提供合適的設施以供服務使用。為此,組織應加強供方管理,確保提供無縫的和高質(zhì)量的服務。
5 結(jié)語
當前,組織業(yè)務的很大一部分依賴于其IT系統(tǒng)來提供使客戶滿意的服務。因此,一個穩(wěn)健而又靈活的IT服務解決方案對組織而言是至關(guān)重要的。為了實現(xiàn)高質(zhì)量的服務管理,許多組織常常借鑒IT服務管理體系標準(ISO/IEC 20000-1:2005,常簡稱為ISO 20000)。然而,由于ISO 20000是新生事物,組織難以構(gòu)建適合自身需要的IT服務管理體系?紤]到IT服務管理體系的提出是為解決IT服務時面臨的各種風險的,為此,可從組織的IT業(yè)務人手,通過管理的體系控制、過程的方法控制、業(yè)務的流程控制和價值鏈的關(guān)系控制來處理IT服務風險,進而構(gòu)建符合實踐標準的IT服務管理體系,以確保組織業(yè)務的正常開展。由于該方法在構(gòu)建過程中緊密考慮了組織的IT業(yè)務,是基于業(yè)務風險可控的目的開展的,符合組織的需要,因而能得以較好地實施。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:基于風險驅(qū)動的IT服務管理體系構(gòu)建
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083936112.html