徐强:我是科索路咨询顾问,叫徐强,今天非常高兴来这里跟大家分享一下科索路在服务管理领域的方法论以及我们工作当中的体会。
经过了这几年,我们从一开始接触这个ITLI,到我们逐渐认知和学习ITLI以及应用。现在很多企业已经建立了一些流程,我觉得我们在做咨询当中发现了两个问题。一个是需要建立一个管理体系,形成一个TDC的闭环,对他们的流程进行持续地改进和优化,从而不断地提升他们的服务能力。第二个问题企业内部有了很多的管理体系,比如说信息安全管理体系,质量认证管理体系,我们现在要建立ISO20000的管理体系,为什么要与这些体系进行融合?我们到底应该如何建立一个与这个企业业务目标相一致、相结合的最终的管理的控制体系?
今天我将就这两个话题对大家进行探讨。主要包括了这几个方面,我简单介绍一下我们公司,随后我们跟大家分享一下怎么帮助企业建立ISO20000体系的,我会讲具体的实施方案。第三部分我们讲为什么要进行ISO20000和其他的体系进行融合,我们要在企业建立一个确保IT管理体系合规可控制的我们应该怎么去做,最后是介绍一些成功的案例。
首先,我叫徐强,一个男孩的名字,我现在是科索路的咨询顾问,我曾经为一家金融企业建立数据中心的管理体系,包括对它的组织架构、管理架构方面的设计,同时做了管理流程和操作流程的设计。我还为一家能源企业提供ISO20000认证的咨询服务,我们根据ISO20000的标准,对他的流程进行规范,最终扩展到了其他的分公司。目前我在互联网企业运维中心提供ISO20000的咨询服务。我们的服务包括运维网络的评估、需求定义、流程设计、体系建设等。最终我们帮助客户通过ISO20000的认证。
科索路公司,是一家在服务管理和风险控制领域的一个专业教育培训以及服务管理咨询以及内部审计的专业服务公司,我们旨在创造商业文化和商业精神,进行商业实践,为客户创造价值。我们的远景是成为一家领先的管理咨询专业服务公司,我们非常关注客户的IT商业价值。我们常常遵循核心价值观是诚信、整治、承诺、执行、变革、挑战、团队、致赢。这是我们客户交付的南本。
我们作为专业服务公司,我们非常注重人才和顾问团队,我们将专业知识和行业能力相结合,我们有很多的行业认证,包括ISO20000Consultant,等等。我们有非常丰富的经验,包括IT管理、实施、审计和风险管理等等都拥有非常多的经验。
目前我们的团队成功地领导了很多潜在性地IT管理和风险控制的项目。比如说ISO20000咨询和IT风险管理等等。
我们的业务模型,刚才也提到了我们的服务,包括专业的培训、管理咨询内部审计等等,我们的业务模型是完善的三角一体的架构。我们关注IT的流程、人员、组织和信息,我们希望引导IT进行高绩效地整合,不仅仅是关注产品和工具。
我们服务体系的模型是由上自下的,大家看三角图可以看到,这个范围非常广,从管理到下面的IT资源各个层面,我们要帮助客户更深层次地整合IT和企业的客户,为企业业务发展提供更灵活的IT服务。最终实现IT具有的商业价值。
总的来说,我们是一家为服务管理和风险控制领域提供专业培训和咨询的内部审计的公司。
接下来我们分享怎么样帮助客户建立ISO20000管理体系的。我们都知道ISO20000是完全基于ITLI基础架构的,是一套国际通行的服务管理体系认证,是我们有效的IT服务管理流程的一系列“控制”标准。
ITLI包括两部分,一个是服务管理的规范,另外一部分,是服务管理的作业要点,如果一个组织建立了符合ISO20000的管理体系的话,从质量、成本、风险等多个方面都会给我们组织带来非常显著的收益。
首先可以赢得更多客户对我们的信任,我们已经由第三方证明我们有提供一致的、质量稳定的、符合成本收益的IT服务。第二个获得这个认证,有一些企业要进行SOX合规等等,ISO20000管理体系有效地支持了SOX审计对IT的要求。从我们企业内部来讲,可以保证IT服务与业务战略的一致,提供一致的、质量稳定的、符合成本收益的IT服务,同时一定程度上降低我们的IT呈现,还可以节约我们的成本,我们可以建立全面的资源管理、人员培训、服务管理的框架。我们刚刚讲了这个ISO20000管理体系给我们企业带来了什么样的收益。符合这个标准的管理体系包含哪些内容?
从这张图中可以看到,包括四个方面的内容,一个是管理层的职责,我们要建立管理报告、内部审计制度,这部分是监督持续改进优化。第二个部分是文档管理,制定一些文档模板,同时有共享文档的目录,访问的控振,这是高效实施运维的保证。第三个部分是人员的管理,人员培训、人员考好、人员职责能力,我们的人员要了解自己是什么,自己的工作是什么,我们要给予一些培训,提供管理的技能,完全一些工作。最后是流程管理,现在的ISO20000是基于ITLI V2的,流程大家都非常熟悉。其中包括突发使劲的管理、问题管理,变更管理、配制管理、发布管理。可以通过一些工具来支持,众多的厂商都会提供工具来支持这个流程。后面还会有很多的过程。
至于信息安全管理,我们也提到了要进一步进行体系地融合,这个应该会说有的企业会结合ISO27001信息安全管理体系来进行进一步地扩展。
上面我们说符合ISO20000标准的体系包含了这么多的内容,我们科索路公司在长期的实践过程当中总结了一套方法和框架,是由项目的准确以及评估分析规划,流程和管理体系的设计、实施认证审计这5个阶段组成的项目的周期。以及后面是持续改进和监督审计,组成了一个持续改进的循环,所构成的整体的框架。
在准备阶段,我们要获得管理层的认可,取得他们的支持,我们会召开会议来推进项目的发展,确保整个项目的成功。在评估分析及规划阶段,我们要对现有的IT服务管理的现状进行评估,另外是要结合ISO20000识别差距,合规和不合规的项。我们要根据差距绘一个符合ISO20000管理的规划路线图。第三个阶段我们发现了差距,以及制定了改进计划,我们部署新的或者是改进优化的流程。在整个体系都建完了之后,我们进入了审计的最后阶段,这个阶段我们会为客户准备一些相关的文档,能够证明,搜集一些资料证明我们是符合ISO20000的要求标准的。我们对企业进行内审还有一些模拟地审计,让企业的员工了解审核到底是什么样的,审核人员会问什么样的问题,让他们熟悉这个过程。
真正进入这个审计的时候,我们会协助企业的员工来把我们有利于符合ISO20000标准的数据或者是一些信息,我们会协助他们来提供给审计部门来审计。
在持续改进和监督审计阶段,我们做的工作是针对审计过程当中发现的问题,我们要制定一些改进的计划,分析原因。然后帮助他们做持续地内部的审计,进行持续地改进。
大家可以看到,整个方法框架是基于ISO20000 PDC过程模型的,是不断循环、改进的模型。结合我们的方法和框架,我们具体为客户建立ISO20000管理体系,我们的建立方案分成四个阶段。
第一个阶段是评估分析和规划阶段,第二个是进行流程的设计和实施,第三个是进行管理体系的设计和实施。最后是认证审计,我们要做一些审计准备,以及一些初审的支持等等工作。
在评估分析和规划阶段我们首先要做很多培训,很多人不理解,为什么要给我做培训。其实我们企业有很多员工,他们可能管理层对ITLI是有认识和了解的,但是对于很多员工来说,比如说我们碰到的有一些客户他们是一点点概念都没有。我们为了沟通更方便、这种范围更清晰,我们会对他们进行事先的培训,ITLI和ISO20000的基本的概念。
随后我们进行ISO20000的评估,在这个评估过程当中,我们首先是要结合企业业务需求、企业的规模,我们设计一些评估工具,通过访谈、现场观察以及文档的分类、浏览,充分地了解企业IT服务管理到底处于什么样的水平,了解它的现状。
随后我们结合ISO20000的标准,根据标准进一步分析,他目前有哪些是符合要求的合规项,哪些是不合规项。随后我们识别出来之后,有一定的改进机会,设计了整体的改进规划。根据规划我们进行进一步的流程设计和实施,首先是要定制文档,这是服务体系当中文档管理的相关内容。我们要制定文档的制度,还会制定相关的文档的模板。进入流程设计阶段,我们分为三个流程组。服务支持流程组、服务支持流程组、服务交付流程组。
服务支持流程组,包括上面突发事件关系、变更管理、位置管理这几个流程。我们要定一些事件的分类、优先级,定一些具体实践如何去升级的,这些策略和机制,对于配制管理,我们要帮助企业确立配制管理的范围,到底要管到什么样的程度,哪些配制项怎么去管理,有什么属性和什么样的关系。
这些流程做完了之后,企业可以选择一些工具进行部署,可能他们可以选择一些服务台的工具上线,支持流程方面的工作。
服务工程流程组,这块是要帮助企业建立它自己的服务目录,认识到它自己到底能够提供什么样的服务,还要识别出它的客户,要给客户承诺什么样的服务水平。我们要帮助企业,对它的可用性、连续性、能力进行规划,制定相应的管理计划。还要帮助他们怎么样监控可用性,包括性能、容量。对于服务连续性帮助他们在发生灾难之后怎么样有灾难计划等等。
对于业务关系这块,大家很容易理解,主要是针对客户满意度和客户投诉的管理。对于客户投诉我们要有相应的处理和升级的机制,对于供应商管理我们要对供应商做记录和评审。最后信息安全管理,很多企业会进一步地结合ISO27000做流程设计。
流程设计完了之后,我们会有流程文档的评审,通过这个评审来确保我们的流程的文档是足够的,而且满足企业具体的管理需求的。评审完之后,我们进入了流程的具体部署,包括制订相应的负责人,任命流程的制度和责任,确保流程在是能够有效地运转的。
设计完流程之后,我们会进入管理体系设计和实施阶段,首先是要结合这个标准,看看管理文档是不是完善了,如果不完善要进行补充。然后我们要进行体系地发布,以及对员工进行培训。在体系试运行之后,我们提供内审,我们根据标准写一些内审的标准,然后企业内部的管理人员进行访谈、实地地观察,来分析IT服务管理体系,ISO20000要求的合规的程度。
对于所发现的缺陷,我们会进行记录,并且生成具体内审的报告。然后我们会组合管理层的评审,协助管理层通过管理评审来判断服务管理需求是否与服务管理计划一致,与ISO20000标准的要求一致;以及管理需求是否被有效地实施和维护,对整个生成管理评审进行记录。针对这种结果,我们要发现缺陷,提出可行性地改进计划。
认证审计,我们要协助进行审核前的动员,进行相关培训,确认审核准备工作已完成,我们要进行模拟审核,让员工了解到实际的审核是什么样的,一般要提什么问题,我们一般会去回答他们这类的问题等等。
通过上面四个阶段,我们可以在企业当中建立一个完整的ISO20000的管理体系。下面讨论一下ISO20000管理体系与其他体系的融合。首先我们分析一下,为什么我们需要进行这个体系的融合,有的人比较困惑,我各个体系很好的,为什么要进行体系融合。这个融合是企业发展目前提出的需求,首先是各个员工面临各个体系审计的压力。如果一个体系有ISO9000、ISO27001的体系要求,一年12个月,每一个月来一次审计的话,一年有好几月要应付这些审计,对员工来讲,这个压力非常大。所以我们需要融合成一个体系,一次融合就可以了。
第二个,这些体系之间的关系非常复杂,他们有重叠的地方。无论哪种体系,中间有重叠地地方,每种之间有关联关系,重叠地地方。对于这些员工很困惑,我到底该做哪个?大家觉得不方便。
第三个,各个体系所用的一些术语是不一样的,可能在向各个体系牢笼的。
最后是我们维护多个管理价值的成本是相当高的,如果我们进行体系的融合一定程度上降低我们维护的成本。
最后我觉得非常重要的原因是因为我们企业建立管理体系的最终目标,我们是要建立一个真正需要的,而且与业务的行业保持一致性的,而且相结合的管理控制体系,不是需要很多的管理控制体系,支持我们管理、业务方面的需求。
刚才说到有很多重叠的地方,不详细讲了。
下面我们说一下如何去进行体系地融合,根据我们的经验,首先是我们要识别体系的目标。你到底要达到什么样的目标,你要跟你的哪个业务保持结合。第二个我们要明确最佳实践的标准、管理实践之间的关系。他们有很多重叠的关系,一定要搞清楚,可以通过标准一一对应,相互影射来理清之间的关系。我们要定义符合我们企业治理目标的管理控制体系。
当我们定义符合这个管理控制体系之后,我们就有了一个明确的大家可以想像的比较想象的概念,我们对我们目前企业已有的管理控制体系进行评估和差距分析,随后进行设计和实施,并且保持不断地实施和改进,必须要进行优化地改进,从而最终保障我们的IT治理的合规和保障。
由于时间的关系,案例简单说一下,我们为财富500强三大石油企业之一,帮助他们顺利地通过了审核,成为了国内首家获得ISO20000认证的机构。还有一个我们帮助一个财富500强,是集团中心下属的单位,我们帮助客户建设整体的IT服务管理体系,并且进行相关测试与运行,目前通过了终审了。
除此之外,我们做过关于ISO20000质量管理体系和SOX的合规测试,并且也取得了成功。
最后谢谢大家,祝大家周末愉快。 | 
