ISO20000认证准备
发布时间:2010年03月03日点击数: 作者:侯维栋 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
ISO20000作为从ITIL演变而来的国际标准,是当前国际上最热门的标准之一。交通银行在2004年开始实施ITIL的基础上,于2007年通过该标准的认证,在业界获得较高美誉,许多单位慕名而来,学习实施经验,为总结传播交通银行在该领域的实施经验,向中国企业或组织介绍国际标准和国情结合的心得体会,特创作此书。

 

前期准备

ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。

不同于ITIL只有个人认证系列,ISO 20000则是对组织的整体认证,因此需要全方位的建立符合标准的体系,也意味着认证前期准备工作将是复杂而细致的。正所谓“万事开头难”,在着手进行认证之初,必须充分认识到良好而充分的前期准备工作是通过这样一项国际标准认证的基石。实际上,对于大多数组织而言,通常没有太多认证工作相关的经验,因此在认证准备阶段打下扎实的基础,对于整个认证实践都是颇有益处的。

本书将从认证方案制定、调研访谈、咨询审核机构选择、组织内部流程4个方面来介绍认证准备阶段工作。事实上,虽然这四部分内容是大多数组织通过IT认证所必不可少的,但由于每个组织的组织架构和管理基础的不同,前期准备需要完成的具体工作会有一定的差异,通过认证的过程也会不同。因此,组织应“因地制宜”地开展认证实践工作。

制定认证方案

认证准备阶段第一步工作就是完成认证可行性方案的编写。如果把认证活动理解成一个项目,认证方案的编写就是通过对项目的主要内容、目标和相应配套条件(如管理基础、管理需求、项目规模、资源投入等),从技术、经济、工程等方面进行调查研究和分析比较,并对认证可能取得的经济效益及社会效益进行预测,从而形成该项目是否值得实施和如何实施的咨询意见,为组织的高层提供项目决策的重要依据。从这个意义上来说,认证方案的制定也是认证准备阶段中最重要的工作。

1. 可行性分析

可行性分析通常可包含投资必要性、组织可行性、技术可行性、财务可行性、经济可行性、社会可行性、风险因素及对策等部分。由于各类型项目因行业特点而差异很大,具体到ISO 20000认证,通常需要从管理基础和效益两方面进行考虑和分析。

首先是管理基础分析。需要对组织自身的管理基础,包括ITIL体系实施的基础、当前的组织架构和当前管理体系在认证过程中的风险进行全面的评估。

IT服务管理体系的建设,首先是管理问题,其次才是技术问题。成功和失败的经验都表明,需要首先解决管理体制和机制的问题,建立以客户为中心的理念,培养服务意识和质量意识,建立内部可行、科学的服务模式;其次才是借助软件工具将管理流程固化和优化,利用自动化工具辅助和提升管理效率,实现技术和管理的有效结合。因此,在认证可行性分析时应更关注管理可行性,其次才是技术可行性。

对于那些已经成功实施基于ITIL的管理方法的组织来说,需要更标准化的成熟IT服务质量管理体系来确保管理与国际接轨。ISO 20000认证将满足其进一步发展的战略需求,同时ISO 20000的持续改进机制也确保管理流程具备更强的生命力。

其次是效益分析。可以从资源配置的角度衡量认证项目的收益,评价认证项目在实现组织发展目标、有效配置IT资源、改善运行环境、提高流程效率、减少人员工作量、提升盈利能力等方面的效益。

虽然对于不同的组织来说可能带来的效益各有不同,但通常ISO 20000可能为组织带来的效益可能包括以下内容:

—在IT服务提供中有更多的管理手段,并能持续地改进;

—改进服务交付的能力,为关键业务服务提供稳定的,高质量,低成本的可靠的服务;

—通用的服务表达方式,方便不同组织之间的对话;

—为组织内部运营过程提供一个管理和沟通的平台;

—采纳最佳实践,提高组织内部服务水平,以及服务级别的持续保持;

—减少服务交付中的时间成本;

—有效管理供应商的方法;

—提高人员利用率,改善激励,降低人员流失;

—有价值的管理数据,更好的决策支持;

……

2. 认证实施计划

认证实施计划是认证方案书中的核心部分之一。提到计划,通常的理解就是步骤、任务、人员、周期、里程碑等内容,使用专业的工具如MS Project、Excel进行编辑和制定。按照项目计划的常用制定方法基本可以覆盖认证计划的主要内容,但必须注意认证实施计划与一般工作计划几个细节上的区别:

1) 本书前面已经介绍过,认证过程主要分为前期准备阶段、差距分析阶段、流程建立改进和试运行阶段、认证审核阶段等。各个阶段的时间和人员分配取决于组织自身的成熟度,可以适当调整几个阶段的资源分配。如果IT服务管理的基础较好,前期准备和流程建立改进阶段时间可以大大减少。

2) 始终牢记各个流程必须全部达到ISO 20000的要求才能获得认证,因此资源适当向基础薄弱、离标准要求有一定距离的管理流程,提早启动流程建立和改进阶段工作。

3) 认证计划中需要包括审核机构的部分,由于整个审核过程会包括几批次,每批次之间另有再改进的时间,同时每一次审核需要提前预约,因此整个实施计划建议预留一些时间给审核机构。

图4-1是一个认证计划的样例,供读者参考。事实上,计划的形式并不重要,重要的是对制定认证计划这项工作的重视。

3. 资源与费用

 

资源与费用也是认证方案准备过程中需要了解的内容之一。与实施计划一样,资源投入的多少主要取决于组织自身的成熟度,越成熟的组织需要在IT服务管理体系建设和完善上花费的资源相对越少。

人力资源:通常包括组织自身、第三方咨询机构、认证审核机构等的人力资源,其中通常较为容易忽视的是组织在全员培训上的人力投入。这在流程体系试运行和认证审核阶段都是相当关键的。

工具资源:现阶段,任何组织的IT服务管理体系都与工具软件有一定关联,而且这种依存度正在逐渐上升。组织在实施ISO 20000认证时,可能需要对其现有的工具平台进行一定的调整,也可能需要采购一些新的产品。

费用方面,通常认证实施项目包含以下5个部分:

1) 认证咨询服务费(咨询合作方,可选)

2) 认证服务费(审核机构)

3) 培训费用(可选)

4) 认证相关参考资料、宣传费用(可选)

5) 工具软件费用(可选)

具体费用根据组织规模而有所不同。对于希望通过该项认证的组织来说,在项目方案中应确认认证服务费用是否包含后续年度的复审、复评和证书管理费用等。

除以上介绍的管理基础分析、效益分析、认证实施计划、资源与费用等主要内容外,认证可行性方案中还可以包括ISO 20000认证介绍、风险因素及对策等内容,组织可根据自身情况丰富方案内容。

 前期调研

认证准备阶段的另一项重要工作就是调研,对于整个组织而言,进行充分细致的调研工作有助于梳理组织内IT服务管理现状,同时对于提高全员认证意识,提升组织内成员对认证工作的重视程度有一定的积极作用。这一阶段的工作在某种程度上和下一阶段差距分析工作存在一定重叠,可以同步进行。区别在于正式启动认证前的调研承担了部分可行性研究的职能,同时主要偏重于现状的了解和梳理,并不过多地进行与ISO 20000标准条款的对比,而差距分析主要立足于ISO 20000标准,运用专业的分析方法和工具进行比较性的分析,查找出组织现状和ISO 20000标准中各条款的差距,进而制定改进课题。

下面简要介绍几个认证准备阶段常用的调研方式。

1. 问卷调查

问卷调查是最为常用的方式之一,优点是可以让受访对象能够有针对性地准备收集材料、整理相关信息,同时准备的时间也相对充裕。在调研问卷回收的基础上,可以安排进行面对面的访谈,对问卷中的重要部分进行展开了解。

问卷调查可根据ISO 20000的特点进行设计,主要包括2个部分,即管理体系和13个管理流程。管理体系部分的调研范围涵盖认证目标、组织结构、员工职位描述、人员知识结构、文档体系、培训体系、内部审计和改善计划等方面。管理体系的调研对象为组织的高层管理人员,这些人员通常也是ISO 20000体系整体质量管理人员,或称质量经理,对整个体系负有管理职责。管理流程部分相对细节层面的内容较多,可以包括各流程的定义、输入、输出、文档记录、工具以及流程间关联的内容。管理流程的调研对象为组织内当前负责相关流程或者工作的管理和技术人员,通常可包括ISO 20000体系中各流程经理、流程协调人员和流程执行人员。

2. 人员职责汇总

除管理体系和管理流程外,组织内部人员职责分工也是调研期间需要梳理和掌握的重要内容。建议采用“人员角色和职责列表”(Role & Responsibility Matrix)的方式,通过建立人员和工作内容的对应矩阵,对组织内所有人员的职责分工进行汇总和整理。表4-1提供了一个范例:

序号

任务名称

成员名称

说明

张三

李四

王五

赵六

1

系统环境架构

 

 

 

 

 

1.1

系统架构设计

P

B

R

 

 

1.2

系统平台建设

B

P

 

R

 

2

系统管理

 

 

 

 

 

2.1

系统维护操作

R

 

P

B

 

2.2

系统技术支持

 

R

B

P

 

3

网络管理

 

 

 

 

 

3.1

网络维护操作

 

B

P

 

 

 

……

……

P

B

 

 

范例说明:

1) 横向:按组织的部门划分来填写,包括各部门经理和员工。可以包括组织外部的合作厂商信息。

2) 纵向:按工作内容排列。工作内容可分为多级,填写时应尽可能覆盖全面,各级工作内容颗粒度应统一。工作内容分为两级,在工作内容的划分时需要考虑覆盖面与细致性问题。覆盖面需要尽可能全面,而各级工作内容划分的颗粒度则又需要相对均衡。

3) 交叉点:横纵向交叉点为工作项与人员的对应关系。

P(Primary):代表主要负责人;

B(Backup):代表次要负责人或是主要负责人的备份;

R(Related):不直接负责但有关联关系,例如:对某业务不直接负责,但必须知情。

总体而言,人员角色和职责列表是一种扩展性较强的信息汇总形式,可视化的风格可以让组织内中高层管理人员清晰地了解组织内人员职能的现状,也便于做出一定的合理调整。

3. 工具使用调查表

一个显而易见的事实是,组织对自动化工具的依赖日益提高,大型组织往往拥有蛛网般庞大的工具应用体系。在准备阶段对工具使用信息进行汇总和整理是一件很有意义的事。表4-2提供了一个工具调查表的范例。

表4-2 工具使用调查表范例

   

工具

项目

部门

系统名

系统功能

使用
范围

负责人

管理

文件

基础

设施

基础设施

管理

B2

楼宇自动化
系统

环境集中监控

设备
部门

Bob

使用

手册

UPS管理

B2

UPS监控系统

动力监控

 

 

 

流程

工具

服务台

B1

服务台系统

 

全公司

Jack

使用

手册

事件管理

B1

 

 

 

 

 

问题管理

B1

 

 

 

 

 

网络

工具

网络监控

C1

网络监控系统

网络监控

网络
部门

Mike

使用

手册

防火墙管理

C1

 

 

 

 

 

……

……

 

 

 

 

 

 

进行工具梳理的目的是通过对现有系统的整体了解,为认证实践下一阶段的差距分析以及对国际标准的映射打下基础。内容上通常包括系统名称、功能、使用范围、负责人、联系方式、管理文件以及任何调研者希望了解的信息。

4. 雷达图

雷达图作为一种常用的图形化分析工具,在认证准备阶段也可以发挥一定的作用。因雷达图在差距分析方面的先天优势,下一章差距分析(Gap analyze)中将进行详细的介绍。

以上介绍的几种只是众多调研方式中的一部分,需要明确的是:

1) 调研的结果不只是在认证准备阶段有用,在差距分析、流程建制、试运行甚至是通过认证后,组织内PDCA持续改进过程中都能起到良好的作用。

2) “人员角色和职责列表”和“工具使用情况表”等可以成为组织内常用的信息记录,可以在PDCA过程中不断的更新和完善。

3) 不必拘泥于这几种形式,事实上,这些仅是一些案例。根据组织自身的特点和咨询机构的建议,可以进行形式多样的调研访谈和信息收集工作。

认证咨询和审核机构

认证咨询和审核机构的遴选也是认证准备阶段重要的一环。事实上,许多期望通过ISO 20000的组织虽然可能在IT服务管理领域较为成熟,但对于如何通过专业认证可能并没有太多的经验,因此在准备阶段选择一个在IT标准认证领域有大量实施经验的专业IT服务咨询公司,对于缺乏经验的组织来说是一个较好的方式。而对于有类似ISO9000、ISO27001等认证经验的组织,也可以不需要咨询公司。

在PGIA认证四个阶段中,咨询公司对于组织来说,主要在差距分析和认证审核阶段能起到一定的协助作用。在选择咨询合作伙伴时,组织通常可以从两方面进行考察:

● 认证经验和人员配置

业界领先的咨询公司通常在认证经验和人员配置上有一定优势,一方面自身已通过各类ISO认证,有着对ISO认证深刻的理解;另一方面,拥有大量有资质从事认证咨询的人员,对于辅助企业建立和完善IT体系有突出的心得。

● 对组织的了解程度

如咨询公司此前和组织在IT服务管理领域进行过合作,对于组织内的IT管理流程有较为深入的了解,则将在协助进行差距分析和流程建制工作时有得天独厚的优势,沟通效率更高。

认证审核机构是整个认证实施中重要的组成部分,或者说是认证实施成功与否的仲裁者。事实上,具有专业资质的审核机构通常有几十家,可以从以下几个方面考虑如何选择:

1) 认证机构经批准或认可的业务范围。对于组织当前的认证需求,认证机构必须有相应资质(可向认证机构索取相关文件证明),这是基本条件。除此之外,考虑将来的需要,则应该选择具备多项认证资质的认证机构。如果组织已经通过一些认证,可以考虑选择同一家机构。

2) 认证机构的服务质量。认证机构是一种中介服务机构,提供的服务水平由于管理水平、历史、经济实力等因素不同而有较大的差异。一般地说,品牌好、知名度大的认证机构比较注重自身形象和服务质量。

3) 由于各认证机构大多数按国家规定的收费标准收取认证费用,因而除极个别认证机构(其中一部分是未经认可的)会恶性降价竞争外,大多数认证机构的报价相差不大。既然收费相近,就应选择信誉好、知名度大、规模业绩较好的认证机构。

4) 最好不要把选择认证机构的权力交给咨询机构。如前面所说的,咨询机构一般在组织获证后即撤出,而获证只是认证实践的新的开始。组织获证后每年都要接受认证机构的监督审核或复评。因此,组织应自主选择适合于自身的以及获证后日常联络较为便利的认证机构。

总之,如何选择咨询、认证机构是组织自主决策的问题,期望开展ISO 20000认证的组织,可以在准备阶段通过相关渠道和网络了解这些认证机构的详细信息。

4.1.4  组织内部流程

作为认证准备阶段的最后工作,组织通常需要完成一些内部流程的流转。一方面,可将准备阶段的各项工作建议和调研结果形成书面材料提交组织高层参考,以供高层进行项目决策;另一方面,需要完成实施项目前各项商务事宜,通常包括认证的立项、招投标、相关工具或资料的采购等内容。

认证启动

启动阶段工作

在完成认证可行性分析和前期调研后,就可以正式启动认证工作。启动工作并非只是一个时间点,从某种角度来说,启动阶段可以包含相当多的工作内容。通常包括成立ISO 20000认证项目组,确定项目计划、成员组成、例会和任务跟踪制度等,以保障ISO 20000体系建设和认证工作有序稳定推进。

1. 将通过ISO 20000认证加入整体工作目标。

作为推动组织IT服务管理水平的一项重要工作内容,组织期望通过建立符合国际标准ISO 20000的IT服务管理体系,进而推动整体IT运行管理水平的提高,为业务发展提供强有力的支持。因此,组织可根据整体发展战略,将认证实践工作加入整体工作目标,使认证实践工作的重要性得到提升,也确保此工作获得高层的支持,对于项目的成功意义重大。

2. 成立专项工作组。

对于大多数组织而言,成立专项工作组(或称项目组)是认证启动阶段最重要的工作。项目组通常可由高层领导挂帅,担任总指挥和总协调,负责认证实践的整体推进以及各参与部门的协调。另设立项目组执行负责人,由高级管理人员担任,负责项目管理的具体工作。

同时,因为流程的执行是跨部门的,与大多数组织按职能划分部门的组织架构不相适应。为提高全员参与意识,保证流程的执行效果,可以打破组织原有的行政组织架构,建立矩阵式的组织架构,在部门经理的基础上设立流程经理,如图4-2,将ISO 20000标准所覆盖的17个管理领域设定对应的流程经理,流程经理可以是部门经理,也可以是技术或业务骨干,流程经理应负责流程的建制、改进和运行工作。为保证各部门参与到流程中,各部门中都应设定与每个流程对应的流程协调人或联系人,辅助流程经理在本部门开展流程的相关工作。这种矩阵式的组织架构不仅适用于认证阶段,在日常运作过程中也能起到非常重要的作用。在认证的过程中,也可以每部门指定专人参与认证项目组,负责协调本部门在认证过程中的相关工作。

项目组同时可以包括咨询公司的咨询师,组织如通过其他的认证的情况下,也可邀请有认证经验的人员作为内部顾问。

图4-2  矩阵式管理模式

3. 召开正式启动会,确定项目方案和计划,建立长效的任务跟踪和例会制度。

在完成对各项前期准备工作和认证建议方案的评审后,可召开项目正式启动会,介绍项目背景、项目情况以及项目管理方式,并正式确定认证工作整体方案和计划。

建立项目例会制度,定期由项目组长召集并主持会议,对认证每一阶段工作的完成情况进行回顾,对下一阶段工作提前进行部署和准备。例会后可形成会议纪要,报送组织高层领导。建立任务跟踪制度,包括项目任务汇总、项目详细计划、任务日历、待办事项&问题追踪、文档管理表、改进课题计划表等一系列高效的任务汇总和跟踪手段,全方位管理认证实践工作的进度。结合例会制度,在例会上回顾任务的完成情况和百分比。这一过程可以参考使用项目管理的各种管理方法和手段确保项目目标的达成。

4. 建立全员培训和组织内外部宣传的机制。

在项目启动后第一时间可安排针对ISO 20000的全员培训,提升员工对ISO 20000认证的认知,为下一阶段差距分析工作做好铺垫。在全员培训的同时,可根据组织实际情况采用不同方式,重点提升项目组成员的认知水平,例如安排第三方咨询伙伴专题介绍认证案例,或采购IT服务管理和ISO 20000认证相关的书籍和教材等。

此外,可以建立内外部宣传的机制,在组织内开展相关宣传工作。例如在内部开展服务意识、质量意识、流程意识宣传,介绍ISO 20000相关知识、项目进度等内容。

启动阶段工作的意义

从启动阶段工作的背后,对于期望通过ISO 20000认证的组织来说,都有一定借鉴的意义。

(1) 首先,认证需要管理层高度重视。建立先进的IT服务管理体系并通过ISO 20000国际认证对于任何组织来说,都是需要一定人力和物力投入的。其中最重要的是管理层改变现行管理体制的决心和信心。事实上,对于认证来说,获得证书只是目的之一,最重要的是能借助这样一个契机,建立一整套PDCA循环改进的管理体系。这就需要管理层予以高度的重视,以“一把手工程”的力度来推进,才能保证认证获得真正的成功。

(2) 认证工作并非一蹴而就。即使不算上通过认证后的复审和循环改进工作,认证项目也是一项较为长期的工作。因此,启动阶段最重要的是建立长效机制,保障各项工作能够平稳有序的推进。必须认识到,启动一项工作并不困难,贵在长期坚持。

(3) 全员培训和内部宣传的重要性。对于规模较大的组织,全员培训和内部宣传都是必不可少的重要内容,一方面有助于增强组织内各部门对IT服务部门的了解和理解,另一方面全员培训和宣传将提升员工对于管理体系的关注度和认知度。通过认证实践工作,将会给组织和组织内人员留下大量的管理积淀,成为组织不断发展的宝贵财富。对于组织自身而言,员工的收获和提升又何尝不是真正意义上的收获呢?

 

上一篇:序 言下一篇:IT服务管理体系管理要点

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved