基于风险驱动的IT服务管理体系构建
来源:万方数据 更新时间:2012-12-10

 当前,许多组织常常借鉴ISO20000服务管理体系来管理组织的IT服务。然而,由于ISO20000是新生事物,组织难以构建适合自身需要的IT服务管理体系。为此,可从组织实现IT服务可能面临的风险入手,通过管理的体系控制、过程的方法控制、业务的流程控制和价值链的关系控制来处理IT服务风险,进而构建符合实践标准的IT服务管理体系,确保组织业务的正常开展。
1 引言

    随着市场竞争的加剧和电子商务在世界范围内的兴起,现在的组织越发需要快速地对其业务服务进行管理和变革。尤其是这些组织业务开展的程度很大一部分依赖于信息系统提供的服务。正因为如此,一个稳健而又灵活的IT解决方案对这些组织而言是至关重要的。为了实现高质量的服务管理,组织可以借鉴使用经过实践证明确实行之有效的服务管理“最佳实践”。这些实践在英国开发的ITIL系列指南和BS 15000标准的基础上,最终形成了IT服务管理体系标准(ISO/IEC 20000-1:2005,常简称为ISO 20000)。因此,基于ISO 20000实施IT服务管理是有坚实可信的基础。组织通过实施基于ISO 20000的IT服务管理方案可以取得的效益包括:

    (1)使IT成为有效的业务变革手段;

    (2)更好地发挥员工的作用,提高员工的工作积极性;

    (3)通过建立优化、透明的管理流程和权责的定义,监控管理流程、进行绩效评价,降低IT运营的管理成本和风险;

    (4)规范业务部门的服务水平,规范工作流程,降低由人员变动导致的风险,并能更好地发挥员工的作用,提高员工的工作积极性;

    (5)针对与服务质量相关的要素强化组织流程的设计提升IT营运的绩效;

    (6)提升公司整体运作及部门沟通的能力。然而,由于ISO 20000是新生事物,流程众多,如何构建适合组织需求的IT服务管理体系是众多组织在落实IS0 20000时必须面对的问题。部分组织有构建IT服务的意识,但未明了IT服务管理体系构建的目的,不知如何人手去构建IT服务管理体系。有的简单地把构建体系与建立文档等同起来,有的则生搬硬套别的组织的IT服务管理体系而不知该如何借鉴为己所用,存在着为体系而建体系,以至于构建的IT服务管理体系在实际工作中难以流畅运作,最终只能弃之不用。笔者从近年来与众多组织的合作实践中总结出一套方案,提出从本组织的IT业务人手,围绕与组织相关的IT服务风险构建IT服务管理体系,以确保组织业务的正常开展。由于该方法在构建过程中考虑了组织的IT业务,是基于业务服务风险可控的目的展开的,符合组织的需要,因而能得以较好地实施。

2 风险管理和IT服务管理体系

    2.1 风险和风险管理

    风险是指某一事件发生的概率和其后果的组合,后果可以是正面或负面的。风险会影响组织目标的实现。由于组织的所有活动都会涉及到风险,因此,风险管理应贯穿于组织的各个方面,包括流程管理、职能行为、项目管理,以及与产品、服务、决策等相关的各项过程活动。通常说来,风险管理过程由环境信息确定、风险评估、风险应对、监督和检查等活动组成,其中风险评估又包括风险识别、风险分析和风险评价等3个步骤(如图1所示)。

点击图片查看大图


图1 风险管理过程

    2.2 IT服务管理体系

    为了提高IT服务质量,降低IT服务成本,各类组织一直在不断地摸索IT服务管理的规范化方法。2005年,国际标准化组织及国际电工委员会基于BS 15000发布了ISO 20000 IT服务管理体系标准。当前,全球有越来越多的IT服务公司与机构正在按照ISO 20000标准的要求建立、实施其服务管理体系。2009年9月,国家质检总局和国家标准化管理委员会发布的《信息技术服务管理第1部分:规范(GB/1244051-2009/ISO/IEC20000-1:2005)》,标志着IT服务国标中文版的正式颁布,国内组织有了可以借鉴的IT服务管理体系中文标准。

    IS0 20000管理规范吸取了众多管理体系的成功实施经验,采用PDCA管理模式作为IT服务管理体系持续改进模型的基础,将业务要求和客户要求作为最主要的出发点和最终的着陆点,通过对IT服务过程的有序化管理,促使业务成果和顾客满意的达成。

    标准的正文基本可分为管理控制、过程控制和流程控制3个部分。

    2.2.1 管理控制部分

    该部分主要由ISO20000的条款3构成,分管理职责、文件要求和能力意识培训,目标是提供一个管理体系,包括方针和框架,以有效管理和实施所有IT服务。

    2.2.2 过程控制部分

    该部分包括条款4策划和实施服务管理和条款5策划和实施新服务或变更的服务。条款4基于PDCA循环,从策划服务管理、实施服务管理和提供服务、监视、测量和评审、持续改进出发进行服务管理的过程控制,目标是确定服务管理的策划、实施、检查和处置。条款5着眼于服务变更,目标是确保新服务和服务的变更能按各方协商一致的成本和服务质量交付和管理。

    2.2.3 流程控制部分

    IT服务管理的目标是满足业务的要求,内容则具体落实在其定义的服务级别管理、服务报告、能力管理、服务连续性和可用性管理、信息安全管理、IT服务预算和核算、业务关系管理、供方管理、事件管理、问题管理、配置管理、变更管理、发布管理等13个流程上。

  3 IT服务风险

    任何组织时刻都面临着各式各样的风险,对于专注于IT服务的组织来说,IT服务风险也是不可避免的。IT服务风险是指对组织的IT服务会造成负面影响的信息技术失效。

    3.1 常见的IT服务风险

    信息技术会给组织的业务带来风险,而组织自身不良的IT管理行为也会给客户或用户带来广泛的影响。常见的IT服务风险有:

    (1)IT服务的过程风险:组织不能有效管理IT服务的各过程,不能很好地计划、执行,并对执行结果进行监督和改进,这将导致IT服务计划失效、交付失败、无法提供更高质量的服务,从而对组织的1T服务造成巨大影响。

    (2) IT服务的业务风险:组织不能有效管控IT服务运作的各种日常业务活动,导致IT服务运作的中断或服务质量的降低,进而造成组织IT服务水平的降低,最终影响客户满意度,从而导致组织业务的不稳定。

    (3)IT服务的价值链风险:一方面,组织需要依赖供应商提供的软硬件等支撑IT业务;另一方面,组织业务的开展也是与具体的客户相关的。如果此价值链发生断裂,供应商不能及时交付高质量的服务或不能向客户提供高质量的服务,则整个IT服务的效用将会受到影响。

    (4)IT服务的管理风险:组织管理IT服务的能力脆弱,缺乏文档、服务体系没有很好的结构化,造成服务管理困难,难以维护和难以完成预定的IT服务管理任务。

    3.2各类IT服务风险之间的关系

    理解IT服务各类风险之间的关系有助于构建IT服务体系时避免上游的风险、消除下游的风险,在源头上解决潜在的问题,集中精力预防而不是医治。总体说来,各类IT服务风险是相互依赖和影响并相互作用的(如图2所示)。

 

图2 各类IT服务风险之间的关系

    (1)IT服务过程风险管理的缺失将导致难以识别完整的服务价值链,对业务流程的有效实施造成影响。

    (2)对IT服务价值链风险的管理不当会导致难以区分组织的关键业务与一般业务,难以使有限的组织资源发挥最大的价值。

    (3)对IT服务管理风险的处置不当会导致管理层难以掌控服务过程、有效执行处理业务和识别价值链的各环节。

    (4)对IT服务业务风险的处置不当会导致价值链的断裂和管理层对IT服务业务资源提供判断的失控。

4 IT服务风险驱动的服务体系构建过程

    有效的IT服务风险管理能力,最重要的一点是要满足组织业务需要。组织在构建IT服务体系时要考虑战略和政策、角色和责任、流程与方法等多方面的因素。在确定IT服务实施范围的基础上,组织应采用系统性的方式对这些IT服务风险进行综合管理。目的是提升组织应对IT服务风险的能力以有效引导,减少管理失控或失效对组织IT服务业务造成的负面影响。该方法的重心在于“防胜于治”,通过PDCA循环来不断改进组织的IT服务能力。具体地说就是通过管理的体系控制、过程的方法控制、业务的流程控制和价值链的关系控制来处理IT服务风险(如图3所示)。

 

图3 IT服务风险解决方案

   4.1  管理体系控制

    (1)管理控制主要是立足于IT服务的管理层面,要求管理者提供一个管理体系以有效管理和实施IT服务。为此,管理者应确定IT服务的方针、目标和计划,在组织内部传达并引导员工了解和实施具体措施以满足服务目标和持续改进的要求。同时,管理控制也要求管理层提供组织实施IT服务所需的各项资源。

    (2)简单的语言沟通对于组织运行来说是不够的,为规范服务的运行,还需要各种文件和记录的支撑,以确保员工有章可循。为此,作为管理控制的一部分,组织应提供与IT服务相匹配的文件体系供员工参照执行。不仅管理控制本身,就是过程控制和流程控制也应有相应的文件作为指导。

    4.2过程方法控制

    依据PDCA的方法论,过程控制包括计划、执行、检查和改进4个部分。

    (1)计划:在服务实施或交付前,组织应对IT服务的范围、目标、要求、人员职责和过程等进行策划。在策划服务时,尤其要注意组织在完成目标时可能遇到的风险和各流程和流程间接口的衔接。

    (2)执行:组织应对服务计划予以实施。实施计划应着重注意成本预算、角色职责、服务风险的识别和管理、团队管理及过程中的协作等方面。

    (3)检查:由于计划没有变化快,因此,组织应在一定的时间间隔内对执行情况进行正式的检查评审,以确定服务是否得到有效实施和保持。

    (4)改进:对于不断发展的组织来说,单纯的计划、执行和检查是远远不够的,为确保竞争力的不断加强,组织应不断收集服务数据并在此基础上对目标实施改进。

    组织在开发新的IT服务或对原有IT服务进行变更时应考虑成本、资源、技术、商业、验收准则和预期结果等各方面的影响。

    4.3业务流程控制

    业务流程控制主要是控制组织对具体业务的处理过程,通常包括事件管理的控制、问题管理的控制、配置管理的控制、变更管理的控制、发布管理的控制、能力管理的控制和信息安全管理的控制7个方面。

    (1)事件管理控制:客户在使用组织提供的IT服务时,不可避免地会遇到各种问题,作为客户方,他们对这些问题会向组织提出帮助请求。组织应对这些请求进行记录、确定优先次序和业务影响性,并有解决和正式的关闭过程。

    (2)问题管理控制:组织应对客户多次提出的事件分析其原因并提出解决方案以使对组织业务的破坏最小化。

    (3)配置管理控制:为确保员工能及时获得描述IT服务的各项部件,组织应制定配置项及其组成部件的配置策略,将配置项变更置于变更管理之下。

    (4)变更管理控制:组织应对所有的变更请求都置于可控之下,对变更进行分类,确保与IT服务相关的所有变更得到评估、批准、实施和评审。同时,考虑到组织运行的实际情况,在制定变更计划时应制定回退计划。

    (5)发布管理控制:组织应对发布进行控制,以在实际运行环境的发布中,交付、分发并追踪一个或多个变更。与变更类似,组织在发布时也应考虑发布不成功时的回退或补救措施。

    (6)能力管理控制:组织应确保在服务协议时间内具有足够的软件、硬件、人员等资源满足客户要求。为此,组织要制定能力计划,考虑性能、服务升级、技能等方面的情形。

    (7)信息安全管理控制:与IT服务相关的信息是仅能被相关人员获得的。因此,组织应在所有服务活动中有效地管理信息安全,避免安全事件对组织服务价值的实现造成的影响。

    4.4价值链关系控制

    价值链关系控制主要是确保IT服务满意度等指标满足客户的要求,具体说来,包括服务级别管理的控制、服务报告的控制、服务连续性和可用性管理的控制、IT服务预算与核算管理的控制、与客户方关系管理的控制和供方管理的控制。

    (1)服务级别管理控制:不同的服务级别组织需要付出不同的资源。为此,组织应与客户协商,确定正式的服务级别协议,以避免双方对IT服务交付物有不同理解。

    (2)服务报告控制:为强化与客户的有效沟通,组织应依据日常收集到的服务信息及时编制可靠和准确的报告,以利双方决策。

    (3)服务连续性可用性管理控制:没有客户会对需要服务时服务却不可用的状况表示满意。为此,组织应基于业务计划、服务水平协议和风险评估等状况来确定客户的可用性和连续性需求,并在此基础上制定相应计划,以确保各方同意的要求能得到满足。

    (4)IT服务预算与核算管理控制:为运行服务,组织必定会有成本支出,为有效进行财务控制和业务决策,组织应对支出进行详细预算,并检查报告预算支出,从而管理服务供应成本的预算和核算。

    (5)客户方关系管理控制:没有客户的服务是无效的服务,对组织是无意义的。组织应识别出服务的现实和潜在客户,努力建立并保持与客户的良好关系。组织应建立正式的渠道以处理客户的不满或投诉。

    (6)供方管理控制:通常说来,组织向客户提供的IT服务只是IT价值链上的一环。为确保整个价值链能顺利实现,组织应确保上游的供方能提供合适的设施以供服务使用。为此,组织应加强供方管理,确保提供无缝的和高质量的服务。

5 结语

    当前,组织业务的很大一部分依赖于其IT系统来提供使客户满意的服务。因此,一个稳健而又灵活的IT服务解决方案对组织而言是至关重要的。为了实现高质量的服务管理,许多组织常常借鉴IT服务管理体系标准(ISO/IEC 20000-1:2005,常简称为ISO 20000)。然而,由于ISO 20000是新生事物,组织难以构建适合自身需要的IT服务管理体系。考虑到IT服务管理体系的提出是为解决IT服务时面临的各种风险的,为此,可从组织的IT业务人手,通过管理的体系控制、过程的方法控制、业务的流程控制和价值链的关系控制来处理IT服务风险,进而构建符合实践标准的IT服务管理体系,以确保组织业务的正常开展。由于该方法在构建过程中紧密考虑了组织的IT业务,是基于业务风险可控的目的开展的,符合组织的需要,因而能得以较好地实施。