Future S中国管理论坛 R16“ITIL实施者中国年会 2008”

　　各位来宾，大家早上好！今天是Future S 中国管理论坛第16站——ITIL实施者中国年会 2008。Future S 中国管理论坛是公益性的，是旨在推进IT管理的标准、理念和最佳实践的一个论坛。它实在中国、上海信息科技管理面临整合、提升的这样一个机遇下产生。从2005年开始，至今已举办16站活动，每次的主题包括IT治理、IT服务、IT管理以及信息安全等等。论坛现在已经从上海扩展到了北京、深圳。 　　今年的经济形势大家都知道，这对于IT管理、IT服务是危机更是机遇。经济危机给中小企业带了的可能是危机，而随着经济危机带来的产业结构的改革，对于IT服务业可能更多的是机遇。因此这次论坛邀请IT实施者共同探讨在当前形势下怎样应对危机、抓住机遇。 　　这次论坛的发起单位是上海信息化培训中心。上海信息化培训中心一直致力于IT服务、IT管理、信息安全等方面国际先进理念的推广和应用。作为他们的上级单位，上海市信息中心是主要为政府提供经济、社会发展等重大宏观决策提供决策咨询支持的一个机构，其中也包括信息化的问题。 　　今天我们还邀请到了上海市信息中心主任，长期在发改委工作的专家，王思政先生，稍后，他将为我们讲一讲服务经济在当前形势下的作用。 　　最后，欢迎大家来到现场，都是精英，既有老朋友也有新朋友，希望大家今后一如既往的支持我们的论坛，为IT管理、IT服务的发展做出自己的贡献。谢谢！ 　　演讲一：王思政 上海市信息中心主任 　　演讲题目：新时代服务经济 　　各位来宾，大家早上好！欢迎参加由上海市信息中心、上海信息化培训中心主办的Future S中国管理论坛R16“ITIL实施者中国年会2008”。我今天演讲题目是——新时代服务经济。为什么选这个题目呢？当前我们面临严重的金融危机，而且金融危机还在不断的蔓延，已经逐步从虚拟经济蔓延到实体经济，从我们分析的发展演变过程来看，这次危机从美国的次贷危机上升到金融危机，从金融危机演变成经济危机。我们同时也知道，每一次人类面对大的危机之后，会迎来一个新时代，一个新的大发展。但天下没有掉馅饼的，面对困难，我们要讨论、思索。欢迎并感谢各位来到现场，我们一起来做冬天里的思想者，冬季里的拨火者。 　　今天主要讲两点。第一点是大家要高度认清我们当前面临危机的严重性、复杂性、长期性。第二点是面对危机怎样抓住发展机遇。所谓危机有危就有机，怎样抓住发展机遇。第一点，当前这场危机演变越来越激烈、严重。从这场危机的发展过程来看，我们知道这场危机在史上是少有的。粮食危机、能源危机、货币危机几乎同时发生。以往经济危机都是发生在欧美发达国家，范围有局限性。但是这次危机是史上第一次全球危机，1929—1933年，美国的大萧条影响了欧美主要发达国家，这次是全球性的经济危机。 　　为什么会发生这样大规模的经济危机呢？背后的推手是什么呢？答案是全球经济一体化。任何事情都是一把双刃剑，有它的两面性。从美国引发的次贷危机到金融危机再到经济危机，已经蔓延到全球。我国已经加入世界贸易组织。1998年的时候我们可以说“独善其身”，但是，今天我们做不到。加入WTO后，我们享受到得很多便利。但是不能忘记，面对这样大的危机，我们显然不可能“独善其身”。从我国的角度来看，一方面由于全球经济一体化欧美发达国家的危机影响到了我国，另一方面是我国改革开放30年以来，本身也存在一些问题，没有一个内在客观调节的需求。这两大周期碰在一起产生共振，放大了负面效应，带来了非常大的影响。所以我们要对这次危机的复杂性、严重性有深刻的认识。现在全球经济都已绷紧，美国这次危机大概要延长多长时间？大家都知道这次危机还没有见底，就连美国也没有见底，美国的三大汽车公司争议非常大。奥巴马原来在竞选的时候是决议救它们的，但现在他的策略做了相当大的调整，国会最近通过的救世方案不但资金数额大大减少，而且增加了许多附加条件，美国经济危机的蔓延已经带来了美国国内的信用卡危机，美国三大信用卡都已经面临倒闭的边缘。美国人已经入不敷出，他们习惯了消费，但是现在只能捂紧口袋还欠账。现在又蔓延到失业危机，这种种都是经济危机的深刻表现。专家分析美国至少要三年才能走出阴影。中国不需要这么长时间，我国领导人的讲话使我们树立了信心，我们现在用重药，下猛药，但是不能指望3个月或者6个月马上见效，如果出台一些政策就可以马上调过来的话，也不会有经济危机了。这个问题的复杂性、艰巨性大家一定要看到，要深刻认识到发展的背景。大家都知道危机背后的推手是全球经济一体化，但是全球经济一体化何以发展到这样的程度？这正是今天要讨论的话题——现代科技的信息化。信息化的飞速发展使我们人类第一次实现了时空的统一，大大缩短了时空的距离。这种便捷助长了全球经济一体化，全球经济一体化又助长了这次经济危机。 　　第二点，危机当前，我们怎样抓住发展机遇。危机中有很多问题，但是也有很多机遇。所以我们要积极思考，制定应对策略。今天我们大家聚在一起就是讨论怎样抓住机遇。现在我们一起来回顾美国总统奥巴马当选的历程。奥巴马是互联网人，他非常擅于在当前危机下抓住新的发展机遇，牢牢抓住了信息化的优势。众所周知，美国总统竞选要花费巨额资金，以往都是通过大的财团，百万富翁、千万富翁、亿万富翁来筹集资金，但奥巴马竞选时一改常态，用互联网募集竞选资金，从三五美元到几十美元，基本都是在一百美元以下的捐款。结果一举超过了麦凯恩。麦凯恩还是用老办法——富人捐款，竞选之初就已经预示着奥巴马的胜利。时世造英雄，一个时代没有英雄，它是寂寞的。反过来讲，有英雄的时代又是不幸的。我们希望奥巴马能够成为时代的英雄，来拯救美国这个不幸的时代。使美国经济尽快走出泥潭，为全人类的发展作出更多贡献。从奥巴马的例子我们得知互联网在这次竞选中的作用是非常大的。上海市信息中心作为决策机构一直在分析，这次经济危机中暗藏着什么机遇。经过研究发现，还是有很多机会的。我们经过大量调研发现，陈天桥的盛大网络公司——动漫游戏，今年赢收增长了40%，取得了骄人的成绩。其一家公司的营业额基本等于整个中国电影的产值，这是非常大的数值。现在经济不景气了，很多人不出去旅游了，不出去购物了，不出去消遣了，不去饭店吃饭了，但是还是要上网的，要玩游戏，要放松。我们都知道美国的好莱坞电影风靡全世界，它正好发迹于上世纪30年代美国大萧条时期，好莱坞抓住了机遇，让自己走向了全世界。至今仍深受广大读者喜爱的《读者文摘》，也是发迹于上世纪30年代美国大萧条时期，《读者文摘》推崇的心灵之美拯救大萧条时期破碎的心灵，带来慰籍。1933年芝加哥世博会上，沃尔特•迪斯尼穷困潦倒，到处碰壁，没人要他的作品，他把做好的小动物放在一个不起眼的地方，没想到一炮而红，而后他就办起了迪斯尼王国。今天讲这些例子，是为了说明危机中还是有很多机遇的，需要我们积极思考，应对，抓住机遇，获得新生。现在上海面临经济转折时期，我们要加快调整产业结构。上海的服务业一直在51%左右浮动，作为国际化大都市，上海的服务业还是有很大距离。危机当前，是我们调整产业结构的良好机遇。上世纪三十年代，上海也是全国的文化中心，但是现在人才留不住，我们培养的廖昌永申请了香港居民证。2010年上海将举办世博会，怎样抓住世博会这个机遇，抓住上海文化发展的薄弱环节，看到我们的不足，看到我们发展潜力，使我们下一步的发展能取得更大进步，将上海早日建成国际化大都市。时间关系，就讲这些。谢谢大家！ 　　演讲二：马怡骢 Compuware 技术总监 　　演讲题目：IT服务管理中的6Sigma 　　首先感谢Future S中国管理论坛的主办方——上海信息化培训中心。 　　很荣幸有这样的机会在这里与大家一起分享Compuware公司在IT服务管理方面的一些心得，称为“6Sigma，面向业务，持续改进”。实际上Compuware公司也是本着面向业务、持续改进而不断发展的。 　　我参加了很多次Future S中国管理论坛，每次都能和各位专家、同行分享经验，学到很多有用的知识。 　　今天会议的主题是ITIL实施者中国年会，在座的各位都是ITIL的实施者，可能每个人心中都有自己的一个ITIL实施的进行时，我的认识是，自动化已经进入了普及阶段，并且服务的概念也已深入人心。现在的很多IT服务价值机构里都有服务经理或者服务台来专门响应相应的ITIL服务流程，在这方面已经不是初始阶段了，但是这里仍然存在很多问题。 　　第一，建立服务水平，但是我们的客户——业务部门，仍然反应虽然IT部门对于故障的响应时间越来越短，态度也越来越好，但是问题并没有解决，各业务部门的意见还是很大。 　　下面引用一段关于IT服务管理的调研数据。1）大多数机构，81%的机构已采用正式的服务等级协议（SLA）；2）他们在平均 26%，超过1/4的时间里仍然无法达到该协议。 　　下面还有两组数据，我觉得更加有意义：1）68%的中国受访者通过联机仪表板提供实时的服务水平信息，对比一下北美39%，法国65%，德国52%英国48%，可以说我们采购监控工具方面是领先于全球的！2）64%的中国受访者（注意，这个数据可不是越高越好的）没有定期向管理层提供服务水平报告，我们也对比一下北美是27%，法国57%，德国53%，英国22%。这就是说，我们买了很多的工具，但是我们却没有向管理层定期提供生成服务水平报告。 　　因此，我们现在的IT服务进行时就是：已经拥有了大量的工具和技术手段，但是在谈论服务水平的时候，技术手段和业务是脱节的！把CPU利用率、端口利用率、丢包率这样的技术数据给管理部门、业务部门看是没有意义的，他们看不懂也没有兴趣看。这就是我们从调查数据得出的结论。 　　下面先简单介绍下什么是6 Sigma。6 Sigma是一种质量测评体系，Sigma也就标准差，最简单也是最狭义的理解就是“每百万个产品中有3.4个次品”，这个产品既包括了物理的产品，也包括了服务。这是一个很高的要求！另外一点就是6 Sigma提供了一种稳定的业务产出、流程的统计分析工具，根据客户和市场的需求来评估产出。 　　因此，6 Sigma对于IT人来说有两个关注点。第一，6 Sigma不仅关注平均，而且关注波动，也就是散布。举个例子，对于平均故障响应时间，假设限定的上限值是10分钟，我们可能有1、2分钟的也是10分钟、11分钟的，计算平均都达标；但是如果绝大多数响应时间都是在2、3分钟这样一个范围内，它的波动更小，符合6 Sigma，那么也就更加稳定。 　　第二关注点，6Sigma不是一种标准或者公式体系，它是一种关于持续改进的过程的方法论。它包括Define（定义）、Measure（测量）、Analyze（分析）、Improve（改善）和Control（管理）五个步骤，缩写DMAIC，国内的一些管理者也简称“定测试改控”。在ITILV3的持续服务改进里面提到各种各样的管理框架。那么在6 Sigma体系里面描述了这样一个相互关系，ITIL建立一致性流程，6 Sigma通过消除缺陷来，改善和提高服务质量，这是ITILV3里所描述的。Compuware公司认为，ITIL实际上是解决了“做什么”，也就是在什么样的领域里开展工作的问题；而6 Sigma解决的是一个“如何做”的问题，告诉我们如何提高服务质量。里面最关键的两点，第一是CTQ，影响质量的最关键因素是什么；第二就是前面提到的DMAIC。 　　同时6 Sigma提供了很多的工具来帮助我们解决问题。6 Sigma的众多工具今天没法详述了，我简单介绍一下很有意思的工具——第一是VOC，VOC就是倾听客户的声音。一切质量工作的开始是从客户体验开始的。第二是Pareto图，也就是著名的“二八图”，这也是为了找出关键质量要素（CTQ），是说影响质量80%的是那些占总数20%的影响要素。 　　这里面最重要的两个要点：第一是VOC，第二就是持续改进的过程。 　　有人会说：ITIL的实施已经是个复杂的过程了，再加上6 Sigma不是更复杂了吗？实际不是这样的，下面我举个例子来分享我们的持续改进，DMAIC，是如何实现的。 　　首先是D，定义，应用性能提高是目标，那么首先要具体定义到什么是应用，应用是一个应用程序，比如网上银行。然后要定义关键交易，这就用到二八图，找出具体那个交易问题最大，对客户满意度影响最大。第二，指标怎么定义，怎么算是改进了呢？指标要基于用户体验定义。第三是定义应用流程。 　　第二是M，测量，测量应用性能基线。这要注意这不是网站速度、应用服务器资源占有率这类数据，而首先要从用户体验的角度测量真实的用户体验。 　　第三是A，分析，通过这个过程找出故障根源，分析可选的最佳解决方法。 　　第四是I，改进，注意持续改进不是针对找到的问题进行解决，而是一个评估优化的过程，改进的是流程、支撑系统、应用、资源分配这样一些内容，甚至从运维一级延伸到开发的层面上。 　　最后是C，管理。我们要做24*7的主动监控，当然这个很多已经做到了。另外就是基于服务水平和客户体验分析的告警管理，趋势分析，实现一个制度化体系。最后是将交易监控和分析纳入变更管理，分析当有一个系统变更的时候会产生什么样的影响。 　　下面从几张图看看这个过程是怎样实现的。首先是定位影响的关键交易与URL，接着分析问题域找出根本原因，接着是改进。 　　我总结下四个要点：1）以客为尊，以客户体验为主导而不是资源为主导；2）是20/80原则，不要试图解决所有的问题或者潜在故障，找出需要着力解决的；3）确定关系，流程图（Process Map），指的是关键交易和哪些交易相关，是由哪些技术支持；4）持续改进，Control Chart。 　　一个重大的思维改变，我觉得是从用户体现开始，确定从什么方面投入资源解决业务部门的需求。离开的客户体验，一切都只是IT人自己的想法，是纸上谈兵，业务部门的人不接受，也就有了我开始的时候提到的问题：他们觉得IT部门态度好了却不解决问题，因为我们解决的是资源的问题，不是业务部门的问题！ 　　以前，传统的IT服务都是先上资源，然后服务，最后再考虑业务，监控的结果都是资源不够，结论就是钱都花的资源上了，对业务的回报低；我们倡导的是从客户体验入手，从应用出发，而不是物理硬件入手，这样可能在升级硬件上并不需要很大的投资，只是在网络应用方面作相应的改进就是解决很多问题，达到四两拨千斤的效果。 　　其中的三个关键就是：以客为尊，根源分析，持续改进。 　　Compuware公司作为中国IT服务的后来者，我们希望以我们先进的理念和工具更好的为大家服务，谢谢大家！ 　　演讲三：Wilson Feng 安永 高级经理 　　演讲题目：Managing the IT Agenda 　　我是永安业务科技和信息安全咨询服务部的高级经理，非常高兴今天能参加Future S中国管理论坛，也感谢主办方上海信息化培训中心。今天我的讲题是——Managing the IT Agenda。早上我们听到一些灰色的词语，如经济危机、冬天之类的，希望接下来的演讲能给大家带来一些启发。我的讲题是在危机中IT部门应该关注哪些问题，我们需要去注意哪些重要方面。接下来为大家介绍一个结构化方式去面对这些关注点。首先，讲安永在目前环境下看到的整个IT 的环境与趋势。我们做了一个从90年到08年的调查，发现企业对IT的期望值在不断升高。什么原因呢?之前王主任已经说过是全球经济一体化，使中国企业跟其他国家的企业在同一个市场中竞争。企业对IT的期望不止是服务技术，它更希望IT能扩大业务，使IT能成为一个重要的部门，给企业带来价值。从这个层面来说，企业对IT 的期望值在不断升高。同时由于技术在不断发展，使企业面临的危机也越来越大。例如现在信息安全危机增大，但从90年到08年，企业给IT的资金却在降低。企业对IT的期望值在增高，危机增大，资金减少，企业关注IT也越来越多。以前IT作为一个内部服务部门，而现在所有人，部门经理、CEO都在关注IT部门，看能否为企业创造价值。IT非常重要，从表中看初，IT部门在企业中受到的重视越大，企业的收入也就越高。在金融危机的形势下，IT部门怎样来帮助企业？怎样为企业创造价值？如何帮助企业扩大业务，降低成本？如何使企业降低风险？这三个方面是互相依赖的。需要在这三方面寻找适合企业发展的平衡点。安永认为，IT部门应该创造积极的影响，IT部门有四个“必须做的”：第一统一战略，第二有效管理，第三有效运作，第四衡量业绩。第四是从企业的视角考核业绩。我们现在面临的环境期望值越来越高，危机越来越大，我们要去创造价值，管理风险。每个企业都面临不同的风险，下面是调查得出的很多企业所面临的五个风险：最大的挑战是领导能力和凝聚力，确保IT部门与企业其他重要部门的企业战略目标明确，IT部门有效的管理。第二程序交付，确保IT主要项目的高效运转，包括所有管理部门、项目报道，一起来支持企业的重要倡议。第三服务交付，运输需要IY部门的支持服务，基础设施和申请支持内部和外部的客户。第四主要关系，IT部门负责发展、维持、管理和利益相关人与受益人的关系，包括海外的、行政管理、内部和外部客户以及商业伙伴。第五日常业务，IT部门负责日常业务，包括进货、预算、人事与员工管理，提供适当的安全和控制整个企业系统、申请、数据处理。上述提到的五点是很多企业遇到的挑战。企业怎样才能战胜这些挑战，赢得更大利益呢？面对第一个挑战，我们可以制定企业战略，进行有效管理，提高IT部门的管理和运行速度，实行奖惩机制。面对第二个挑战，项目统一管理，项目评估与风险管理，报告与交流，利益管理与现实化。面对第三个挑战——服务交付，可以把服务分级，改善IT部门的基础设施，信息安全，信息来源管理，教育与培训。面对第四个挑战——主要关系，执行管理，监管机构，信息供应商，非信息供应商，内部顾客，外部顾客。面对第五个挑战——日常业务，服务平台，配置管理，数据管理，系统利用，操作管理，安全管理。面对不同的挑战，我们有不同的应对方式。每家公司会面临不同的挑战，现在我们面临经济危机，都会遇到一些的挑战，怎样克服困难，战胜挑战呢？刚才我们提到IT部门有四个“必须做的”：第一统一战略，第二有效管理，第三有效运作，第四衡量业绩。哪方面对自己的企业最重要，找到症结所在，才能对症下药。举个例子，在金融危机的背景下，IT部门需要给管理层提供信息，大家都知道IT管理在公司里占很大部分，IT部门在公司里是重要的部门，IT部门领导都出现在重要会议上，帮助高层做决策。 　　总结一下，IT部门应该创造积极的影响，IT部门有四个“必须做的”：第一统一战略，第二有效管理，第三有效运作，第四衡量业绩。在金融危机的背景下，很多企业面临严重的挑战，我们总结为五个方面：第一领导能力和凝聚力，第二程序交付，第三服务交付，第四主要关系，第五日常业务，我们也给出了不同的应对策略，希望广大公司能走出这个寒冬。谢谢大家！ 　　演讲四：常威 上海市信息化培训中心 副主任 　　演讲题目：2009年IT管理课程体系 　　大家来到Future S中国管理论坛第16站，今天我们的主题是“IT即业务”。 　　现在，在各个公司里，负责IT相关的部门有的叫“IT部”；有的叫“IS部”，实际上IS部有的两种，有的是信息系统部的缩写，有的是信息服务部的缩写；还有的公司的计算机相关部门实际已经改为“业务服务部”。实际上部门的名称从最初的电脑部到今天，实际上反应了IT方面的一个重大转折：IT从原来的一个辅助部门转型为今天一个增值的业务部门的战略合作伙伴的地位转型。这里有张图，大致就反应了这种IT开发要从业务的观点出发，实现业务的需求，IT运维服务于业务部门的关系。 　　在这样的转型背景下，作为我们主办方上海信息化培训中心，想谈一谈主流的信息化服务的培训体系是怎样的。 　　根据我们上海信息化培训中心将近10年的探索实践，结合国内外的发展趋势，和几十家跨国机构合作，逐渐形成了现在大家看到的这样一个2009年的IT管理培训的体系。这是我们所了解到的针对中高级IT服务管理者，适应IT转型大趋势，所需要、必备的基本的技能和知识，通过这个体系的课程可以逐渐的提升。具体可以分成五大部分。 　　第一个模块是IT治理部分，主要致力于帮助中高级IT经理转变观念，能够从业务的角度出发考虑IT，平衡各种关系，关键在于“平衡”。在这个模块里，主要包括：1）COBIT，旨在帮助企业高管更好的管控IT；2）ITILV3系列课程（ITILV3 Foundation、ITILV2-V3 Manager升级课程），ITILV3是2007年5月最新发布的，它能够使IT经理从更大的角度考虑IT问题，不仅是IT运维，包括设计从设计考虑IT的生命周期问题。其中2009年将新开 ITILV2-V3 Manager升级课程等，这是目前后的ITILV3最高认证的最块方式；3）IT经理&6 Sigma课程，前面已经有嘉宾介绍过6 Sigma的内容了。 　　第二个模块是IT服务管理部分，主要致力于帮助中高级IT经理更好的运行和维护（Run）IT管理体系，包括大家熟悉的ITIL Foundation、ITIL Practitioner、ITIL Manager系列课程。另外2009年会根据动向新推出ISO20000 Foundation和ISO20000 LA主任审核员的课程。 　　第三个模块是IT信息安全管理部分，主要帮助中高级IT经理更好的控制风险，核心课程包括CISSP、CISA和ISO27001 LA。 　　第四个模块是业务连续性方面，也是上海信息化培训中心比较新推出的课程体系，包括BS25999和CBCP认证，主要致力于解决当企业遭遇风险或者意外时可以回复到可以应付的局面（Rerun）。 　　第五个模块是项目管理部分，主要包括两个方面，PRINCE2和PMP的课程。在这个方面主要解决的是如何从无到有建立一个新的体系（Build）。 　　通过以上五大模块，可以构成完整的、作为高级IT经理人所必备的只是体系，可以帮助IT经理解决遇到的各个方面的问题。关于课程的详细内容可以看我们的手册。 　　通过10年的努力，上海信息化培训中心已经成为全国领先的IT管理培训机构。 　　基于以上的了解，我们认为可以探讨以往大家都在谈论的PPT模型，也就是People（人员）、Process（流程）、Tool（工具），这这个模型里如果要想发挥作用的话，培训是必不可少。人员的合岗、流程的为人员深入了解以及工具的使用都离不开培训，因此我们进一步将PPT模型扩展成为了PPTT模型，加上一个Training（培训）环节，这是对于一个组织迎接新挑战不可或缺的。 　　最后总结一下，即使实在金融危机的环境下，培训也是必不可少的，这是每个组织每个个人，迎接危机、把握机会、挑战未来必须进行的一项投资！ 　　2009年，上海信息化培训中心开课范围将扩大到四个城市：上海、北京、广州、深圳，并加大了对北京的开课力度，如果有跨国公司或者分支机构的同事需要参加培训的可以就近参加我们的课程。 　　最后，谢谢大家！ 　　分会场A：CIO高峰圆桌会议 （洲际2号厅） 　　演讲一：马怡骢 Compuware 技术总监 　　演讲题目：IT服务质量改进方案分享 　　主办方上海信息化培训中心告诉我下午会场是一个CIO圆桌会议，实际上也就是一个互动环节。我想介绍一个实际的案例，这个案例很典型，在座的各位CIO都在各自的机构里负责IT的建设和运维，通过这个案例可以抛砖引玉，让我们有所参考。 　　这是一个大型银行的案例，具体银行的内容就不看了。实际他开始目标要求很简单，就是把客户服务的达标率从94%提高到97%。就一条，看上去很简单，但是就是为了这个目标，他走过了将近四年的路程。 　　第一次投资，当时面临的问题是：在当地的各大银行中，他们的网上银行客户感觉最差并且正在失去赖以竞争的市场份额，同时客户投诉调查费用不断增长。那么，对于我们IT部门来讲，首先想到的是什么？应用程序重写显然是不现实的，代价太大，而且这都是外包给研发企业来完成的没有办法重写。那么从数据中心的角度该如何入手解决这个问题呢？如果您遇到服务性能差，您觉得您首先想到的是从何入手，解决问题？ 　　加服务器、加带宽（听众一）；如果业务流程明确到位的，应该还是要解决硬件问题（听众二）；不是简单的投资，除了后台的问题，顾客也是很重要的！客户不满意，可能是客户不熟悉这个系统，因此市场上的宣传，提高公司形象也是很重要的，我们既要提高服务的等级也要降低顾客的预期，这样两者之间的gap（差距）才会更加缩小（听众三）。 　　事实上，这个银行的CIO，实际上更确切的说是IT部门的经理，一个三线经理，因为他并不直接向董事会负责。尽管这个时候大多数人会认为是资源的问题，比如网络、系统问题，不过根据他在基层工作的经验，他认为这不是资源问题，应该是应用的问题。但是Code（代码）是供应商写的，但是找供应商，供应商会说是“测试过的呀，都很好，不是我的问题。”那么就面临一个打开黑盒的问题，所以他从运维的团队里选人，采购工具，打开黑盒看看到底存在那些问题，这是他的第一次投资。通过工具的采购可以看到数据库调用、网络、JVM各占多少时间等等。 　　通过这次投资，主要是解决了运维和开发的推诿，把压力给到了供应商，Root Cause时间有了缩短。同时，他还把一个知晓研发的人员安排到了运维的团队，从而给运维团队解决问题的思路带来了一些改变。问题有所改善，但是还是存在问题，网上应用服务还是不行。 　　我们刚才了解到，带宽不是问题，但是网络除了带宽还有壅塞、延迟问题都会导致用户使用慢。 　　这时候一年过去了，他又投资在网络应用分析工具，可以确定会话方，网络错误和流量，这就好比他原来知道了高速公路是怎么布局的，现在他可以知道上面跑的什么车了；然后就可以确定节点延迟，分析发送接收时间、带宽利用率；再往可以下确定Client, Network, and Server的延迟时间，找到壅塞到底发生在哪里。这样对于一个三线经理就可以知道问题到底发生在哪里，该找谁来解决问题，这样避免了手下各个部门的推诿扯皮。 　　那么，一个实际的情况就是存在过度会话的问题，打开一个会话Client传过来Server传回去，虽然每个过程的时间都不长，但是存在太多的会话，所以对于客户来讲整个过程就加起来就很长了。实际上还是应用程序写的有问题，还是应用的问题，不是资源的问题！ 　　做到这步，大家觉得这个CIO做的怎样？有人就说了，对于一个三线经理来说，这样就已经很不错了，至少已经已经能够知道把问题发还给谁来解决。第一可以知道是客户端的问题还是网络供应商的问题，还是自己内网的问题了；第二，已经可以把自己和应用程序供应商部分的分割开来了，看到在实际运营环境到底是哪个部分的应用存在问题。那么大家怎么看呢？ 　　虽然这个CIO已经做的很不错了，但是并不能得到业务部门的认可（听众一）；实际上只是找到了问题在哪里，但是并没有解决问题的方案（听众二）。对，实际上这个过程之后，他们找到问题的能力已经空前提高了，以前有问题他们没法告知业务部门到底什么时候能够解决，现在他们至少可以知道该找谁来解决这个问题了！ 　　但是结果是什么呢？主管业务的高级副总裁在董事会上说：“我感谢IT部门这些年作出的卓越努力，但我们来自网上业务的数字正在降低，我相信系统的稳定性是问题之一。” 　　在得到这个结果之后，这位CIO开始反思，到底该把钱花给谁？他不仅主管运维也主管IT的采购，他就发现，业务部门始终都在与新业务开展相关的发面花大钱，在赚钱的地方花大钱，对自己的员工话小钱。结果他发行在运维发面并没有这么做，前两次的投资，钱都给了自己的手下而没有花给自己的客户也就是业务部门，他发现彻底解决问题是没法管理的，但是客户的期望值是可以管理的，也就是面向业务、以客为尊。 　　于是他投资了一个项目——终端用户体验。事实上，站在我们IT人的角度可以分成两个方面，一个是“终端用户体验管理”或者说“感知”，也就是要知道，到底是谁在用我们的业务，他们的感受到底是怎样的；第二个是“业务影响管理”，当出现问题的时候，数据中心的告警时候到底哪项业务受到了具体的影响，怎样的影响。 　　这个项目的目的在于1）使用BSM软件建立面向业务的IT服务模型；2）提供一个考评指标驱动的持续改进体系，虽然不能全部解决问题但是知道每年进步在哪里；3）以最小的成本、时间与风险实施6 Sigma方法，就是要周期短见效快，不期望最完美的解决问题但是期望效益最好；4）在短期内提供一个可供长期服务质量提高的基础，也就是日后的提高可以基于这个基础而不必再推翻重来。 　　我们采用了一个集成的方法来解决这个问题：1）定义业务和 IT 服务，并提供文档；2）建立服务模型；3）测量并应用到服务模型；4）与不同部门进行沟通，包括业务部门、外包商、服务交付部门、运营商。 　　在这个过程中实际上最艰苦的不是VOC，因为已经有了很多技术手段来调查顾客的需求；最艰难的是建立服务模型，也就是国内常说的“业务服务管理”。在这个里面我们运用了6 Sigma的流程图（Process Map）等一些方法，具体我不展开说了。 　　通过第三次投资的结果：项目开始后6个月将网银的客户满意度调查结果从当地最差提高到了第二名；16个月内将服务量提高了15%，网上银行投诉量减少70%。 　　这个案例的成功主要有三个要素： 　　第一，以客户为中心。他的第三次投资最终是成功的，那么他的前两次投资到底对不对应该说各有利弊。 　　如果现在来看可能他更愿意先做第三次投资，前两次投资都是在致力于解决问题，实际上问题是不可能全部解决的，客户永远会对最近的一次不满意印象最深刻！因此我们不是着眼于解决问题，而是满足客户的需要。第三次投资，实际上是一个加速器，使得前两次投资的效果得以明显的表现了。 　　第二，根源分析。如果单纯的只是解决问题，不从根源上分析，实际上并不能彻底的解决。 　　第三，迭代法实施。按照6 Sigma的CTQ要求，从最影响质量的一个要素着手横向扩展，不断展开。 　　谢谢！今天的分享就到这里，有什么问题可以大家一起交流、探讨。 　　Q1：这个案例里第一步解决了Code的问题，第二步解决了一个Client端的问题，那么用户的体验应该已经有了进步了，那么第三步具体提高了些什么，对于最终的客户体验有了怎样的改善？ 　　A：您的这个问题很好，其实在整个探讨过程中，大家或多或少的涉及了这个问题。在第二步之后的讨论里实际上大家也都认为，做了第一和第二步之后并没有能够彻底的解决问题。当然我个人是认为问题是没有完全解决的一天的，我不知道大家是不是都赞同这个观点，这个问题解决了还会有其他的问题爆发。 　　第一步做完之后，解决可与供应商之间推诿的问题，缩短了Root Cause时间；第二步之后，实际上不是一个Client端的问题，还是一个应用的问题。实际上前两个步骤是从不同角度看应用，第一个是从JAVA虚拟机角度看应用，第二个是从网络角度看应用。前面都是从横切的角度看问题，很可能是应用、网络、数据库、Client端从每个角度看都没有问题，但是纵切来看问题真的就很可能有问题。一段代码很可能测试的时候怎么看都没问题，实际应用起来真的就可能触发边界条件引发问题。 　　实际上让客户满意，就是要关注客服，管理客户的期望值，甚至在客户投诉之前就产生预警，从而减少客户的投诉。 　　Q2：我有两个问题：第一是您PPT提到的这个软件Vantage能做什么？第二是你们公司的这款软件和市面上的其他类似产品有何差异？ 　　A：实际上Vantage是我们的一个产品系列，包括7个不同产品，这个案例的三次采购涉及其中的4个产品。Compuware公司在全球提供两类产品，不仅是IT的产品也包括各种服务。 　　关于差异化，事情是在变化的，传统上是基于关注资源的可用性，他们的提供的解决方案基本上是一个类似这样的结构：一个基础的架构，上面有很多模块包括系统模块、网络模块等等，再向上是一个事件级，然后再向上Service Manage。听上去是很全面，但是我认为还是存在一个问题，就是还是基于资源的，Compuware公司更加注重从业务的角度考虑问题，更加注重用户体验，因此我们强调6 Sigma。在这个方面市场还是有一些差异化的。 　　Q3：如果我遇到案例里类似的问题，我首先想到的就是客户体验、客户调查、客户分析，我不是技术出身的，对于您刚才说到的那些JAVA、网络的技术我真的不懂，我觉得IT经理思考的切入就是需求，那么我的问题是既然你们Compuware公司强调6 Sigma，而6 Sigma又强调VOC，那么在这个案例中，为什么没有首先导入VOC？ 　　A：我很喜欢您这个问题！我想从两个方面回答，首先，坦白说6 Sigma这一套也是一个共同成长的过程，事实上，这个6 Sigma进入我们Compuware是2006年底2007年初的事情，这也是最现实的一个原因；第二，这类客户还是习惯于自己解决问题，并不一定听我们这一套。 　　Q3：那么我还有一点关注的就是，当客户采用第三步分析出结果之后，实际上最终还是要采取一些具体的措施，比如加硬件、加带宽来解决的。您怎么看这个问题？ 　　A：您说的很对！我也认为实际上第三步是前两步的基础，做完第三不之后再做前两步，他的收效会更加明显，也更加具有针对性。以前，他们有问题的时候都有一个“作战室”，那是出大事了，原来的流程都不管用了，所有人一起来，就需要很多工具来分析。那么第三步做完之后实际上就知道了，哪些问题可能会演变成为大问题，从而事先解决掉，避免“作战室”的出现。要是只有第三阶段，没有一二，您也可以选择相应的您认为合适的工具去分析问题。今天我给大家带来的这个案例实际主要是两个方面：第一是从客户体验出发；第二是采用业务影响分析，知道什么事情有多大的影响，这样在投入资源的时候就知道，怎样才是合适的，从而最大程度的避免危机的爆发。 　　演讲二：冯晔 德勤华永会计师事务所 高级经理 　　演讲题目：风险智能型的CIO 　　各位好！我是第一次参加Future S论坛，首先谢谢主办方上海信息化培训中心给我这样的机会，然后还要谢谢各位在这里听我的报告。 　　主办方上海信息化培训中心让我讲一讲现在金融海啸及经济危机的形势对企业的影响，以及作为一个企业CIO的应对。那么我今天想讲一个比较新的概念“风险智能”， 企业可以以“风险智能”来应对应对金融海啸及经济衰退，并且介绍一下在一个风险智能型企业里，CIO应该做些什么，分享一下德勤在这方面的理念、经验。 　　这里面，最主要的词就是“智能”，那么什么是“智能”？我自己把智能归纳了一下：1）智能的东西一定是可视化的，并且是可以层层分解、可以寻根的；2）规则，对于CIO来说，需要利用科学的手段搜集数据，那么一定需要一些规则来使用，才可能判定是否具有风险；3）阀值，也是说，到什么一个程度会触发预警告知CIO或者CFO；4）动态化，首先情况是变化的，第二随着企业的发展规则也是会变化的，因此只能需要能适应这样的变化。 　　德勤一直在研究“风险智能”，风险智能型企业是一个非常理想的企业，当风险来临的时候，企业已经可以识别、预防并且进行应对或者改善。其中，有几点可以和发家分享一下：1）风险管理并不是老板、CFO、CIO的事情，而是一个全员的事情，每个员工都应该具有风险意识；2）风险管理的产品是可以购买的，但是企业要达到风险智能的状态却不是那么简单的，需要投入大量的投入资源，是集合治理、管理及收益相关的学问。 　　那么对于一个风险智能的企业来说，CIO担任的角色就非常的重要了。企业面临的风险点很多，并且会不断产生新的风险点，因此CIO就需要不断的了解这些新的风险点，这样才可以帮助业务部门防止这样的风险。很重要的就是，IT部门需要搜集真实的商务数据从中分析出存在的风险点从而可以反馈给业务部门进行预防或者应对。 　　风险智能给企业带来的好处非常的明显，可以显著的降低企业的运营负担和管理成本，并且更重要的是风险智能给企业提供的是一个预防。另外，并非所有的风险都需要同样的关注，我们需要对其中高风险的内容进行进行更多的监控。德勤最近出了一份新的资料专门讲述风险智能企业模式的建立，其中包括了九项基本原则，如果有需要的可以和我联系。资料里面也讲到了，这个风险的主体，责任还是由业务部门来承担的；其中的第四点也讲到“共同的风险管理基础架构”，这一方面德勤自己研究出了一个风险智能图，将公司所可能面临的风险罗列了出来。 　　理论的东西我不想讲太多，下面我介绍一些我自己亲身经历的实际案例。 　　首先加拿大西尔斯集团的一个案例，他们的流程非常的严格。有一天夜里呢，一个有着20年工作经验的开发人员发现系统不稳定，因为半夜已经没有办法走正常的程序了，因此他就凭自己的经验改动了一个小程序，第二天早上加拿大一个省全省的门店全部不能正常营业了，持续了7个小时。给公司带来了非常不好的影响！实际上就是这位资深的开发人员忽视了变更的一个风险从而到了了公司信誉的巨大损失。 　　IT风险是无处不在的，风险智能讲的就是怎样把这些风险识别出来并且通过一定的工具来对这些风险进行控制。 　　风险智能内核就在于的公司能够进行风险控制，创造或者保持价值。其内圈要有一个风险战略，能够识别每个业务模块的风险，并且针对风险进行评估，根据评估的结果给予应对。在这个过程中要不断的测试我们对风险的控制效果，接着还有改善、提高的过程。在外圈，实际就是在一个良好的公司治理架构下的三大支柱：技术、业务流程、人力资源，也就是我们熟悉的PPT模型。 　　然后再讲一个青岛的案例。这个公司对所有新的理念、技术、产品都喜欢，在技术方面他们是不缺的，至少在中国是肯定属于最前列的！这个公司也非常喜欢创新，他们的流程也在不断的创新。他们见到我们咨询公司，就让我们给他们将“最佳实践”，实际上没有什么绝对的“最佳实践”，所有的“最佳实践”其实都是针对某个公司的“最适实践”！他们的CIO不喜欢听，他们关心的是最新的技术、产品用了多少等等。因此，实际上就是陷入了对技术的过分强调而忽略了技术要和企业治理结构、流程已经人员相互配合的这样一个关系。 　　要实施IT的风险智能，有两个方面的问题，第一是实施什么，就是What的问题；第二就是如何实施，也就是How的问题。这就形成了这样一个风险管理框架图，图的左边是要做什么，就是现在常说的企业风险管理（ERM），右边就是针对这些风险，我们需要从企业治理、技术、流程、人力资源方面如何整合应对。这是整个企业的风险管理框架，针对IT的风险管理框架，我们也可以作一个相应的ITRM框架和包括法律、规范等等在内的各个领域相结合的图。从德勤的这个企业风险智能图中，已经概括的关于IT风险的16个方面的内容，基本涵盖了IT风险的各个方面了，这个图我今天也带来了，大家可以传阅一下。我们现在已经做成的一个动态化的软件，可以动态的将各个方面展示给老总们看的。德勤也有一些工具来进行风险的诊断。 　　最后，再讲一个GRC的案例，这是2005年出来的一个概念，主要是讲治理和风险、合规是如何进行整合的。GRC的内容非常多，今天介绍一个简单的案例，也是我们在青岛做的，目前已经上线了。这个案例做的是访问控制，主要是访问权限的管理，根本上就是一个SOD（职责分工）的问题。SOD问题要手工去检查是非常困难的，原先德勤也有一些工具，但是都是事后的分析，那么现在有一个VRT的产品，其功能在于防范，在事前设置权限的时候就进行分析，权限的分配是否是存在问题。设置好SOD的规则把规则放到系统里，在这个规则的设定过程中，实际上也让客户知道可能存在的SOD风险。另外还有一个权限申请的流程工具。其中有一个风险可能大家没有注意到的，这里和大家分享一下。当一个用户申请新权限的时候，可能老板一看确实是他的分内事情，那么一般都会批复的，但是往往忽视这个用户原先已有了很多的权限，那么新增加的这个权限和以前的权限是否有冲突如果不用一个工具进行分析是很难知道的，那么我们提供了一个权限分析的软件，运行之后就会直接调用前面提到的制定的规则。这时候，如果发现冲突，管理层就知道了风险的存在，那么要么拒绝，要么增加一些增加的弥补性的控件。这样一个系统，我们称之为具有了风险智能，因为：第一有了可视化的报告，第二存在一个规则以及阀值，并且可以通过不断的对规则的修订进行动态化。这只是一个比较小的案例，只是解决了一个访问控制的问题。 　　这里，我只想做一个抛砖引玉，希望各个公司都能向着风险智能的目标不断前进。大家有什么样的问题或者还不清楚的地方可以继续提问。 　　Q1：关于SOD，我们公司也有需求，那么我首先想问，SOD到底应该由谁了管理，是业务部门还是IT部门？其中职责是否有冲突由谁来判定？ 　　A:首先SOD的owner是业务部门。刚刚讲的这个案例其实有些部分我没有详细介绍，在这个过程中SOD做的并不顺利。因为SOD不是一个简单对错判定，很多时候是需要大家一起讨论的，因此IT部门内部有与业务部门沟通的下属机构。这个机构的作用其实就是将业务部门的需求翻译成SOD的语言，然后实现到系统中去。在整个过程中，IT部门是需要参与的。因此部门之间的沟通、讨论相当的重要。这个判定过程中涉及了很多的部门利益等问题，因此过程并不轻松，不过SOD的owner是业务部门这点是非常明确的！ 　　我们在划分的时候SOD是划分到业务部门的，但是关于SOD的要求、内容可能IT部门更加熟悉，也更希望使用的；不过其中如果要推动还是要公司治理层的支持和推动的，操作的时候又回到了IT部门，因此对于大公司的SOD，最重要的还是管理层的支持和推动。 　　Q2：我们遇到这样问题，IT部门试图推进SOD，但是业务部门讲“我不懂、你们来”，对此不理解也不是很支持，这个怎么办。 　　A：业务部门不太懂系统很正常，他们也不想多学这方面的东西。这个过程中，我觉得IT部门和业务部门的沟通很重要。很多时候，IT部门的人员都采用IT的语言和业务部门的人员沟通，这时候业务部门的人员既不明白也很反感；而反过来也一样。因此要把IT和业务整合起来，让IT的人明白对商务到底产生的是怎样的影响，这样才能更高的实现IT服务。不过这个过程中还是需要公司高层的引导、推进、形成一种公司文化，实现这一点还是有很多困难的。采用内部报纸、案例介绍、轮岗培训等等都是一些方法。 　　Q3：GRC是德勤的一个概念、方法论的东西，还是一套具体的产品可供应用？根据我的理解，GRC是不是可以采用不同的方法，也就是各个公司有一个风险管控部门来进行风险管理，至于具体采用什么样的方法并不拘一格，这个只是一个可以放在外面的一套概念化的东西？ 　　A:GRC本身确实就是一个概念，其实德勤本身并不提供产品。GRC只是一个小概念，是基于方法论而非产品产生的，包括业务、流程、控制等等，前面的案例——访问控制只是一个小方面，今天呢我只是想介绍一下案例，GRC是其中涉及的一个概念，今天由于时间的关系没有详细的介绍。 　　Q4:那么，我认为德勤有这样的很好的概念，那么是不是可以与产品结合，和Server公司结合，尤其Server公司对风险的管控有一点意识，但是我感觉整体上还是很弱的，整个流程可能也需要改变。 　　A:您说的很对！我们与一些大的Server公司有些合作，不论在国内和国外都有一些案例。这也是咨询公司和产品供应商一个相辅相成的过程，可以提供一个服务包的形式给我们的客户。不过呢，各个公司的状况也各不相同，在竞争的市场上，我们与Supplier之间的合作是没有问题的，不过因为涉及到实际的商业利益问题，我们和provider公司之间的合作呢存在一些瓶颈。当然，无论如何这样的合作对客户来说都是有好处的。 最后还是那句我们IT服务就是要“提高价值，降低风险”，谢谢大家！ 　　分会场B：IT服务管理实践案例分享（洲际5&6号厅） 　　演讲一：邓永基 汉德技术监督亚太区技术 总监 　　演讲题目：ISO 20000信息服务管理体系之实施与认证案例分享 　　大家下午好，我叫邓永基，英文名是tiger,现在服务于德国的一个认证机构。我是Future S中国管理论坛的老朋友了，谢谢主办方上海信息化培训中心。做完产品或体系的开发后，需要进行公平的检测与认证，类似于中国的技术监督局，是一个非盈利的机构。我负责信息技术安全部，是亚太区技术总监。很高兴有这个机会跟大家一起讨论ISO 20000信息服务管理体系之实施与认证案例。我先利用20到30分钟时间介绍什么是IT服务体系，然后利用一些案例研讨，使大家对IT服务管理体系有大体了解。 　　今天讲的内容是ISO20000信息服务管理体系简介、ISO20000信息服务管理体系建立关键要素、ISO2000信息服务管理体系实施之挑战，ISO20000信息服务管理体系与其他管理体系有哪些差异，最根本的区别在哪里。与IT服务特别相关的管理体系元素放在讨论环节中，希望大家听完30分钟的介绍后，可以对IT服务管理体系有正确基本的认识。最后是大家一起讨论——头脑风暴，既然是头脑风暴，就不会有标准答案，鼓励每个人发言，每个人服务的企业，所处的环境，对IT的需求都不一样，希望大家踊跃发言。 　　我们首先需要知道什么是 IT 服务管理？IT 服务就是一系列用以支持客户企业的信息相关功能。IT 服务有可能是主动也可能是被动，有可能是一个平台，也可能是某一个原件。什么来支持IT 服务？这就是IT 基础建设，包括硬件、软件、网络、文件及人员来协助提供IT的服务。有了IT 服务，有了IT 基础建设，该怎样来管理呢？这就涉及IT 服务管理，即用IT基础建设来规划、执行、控制、及分析所提供的IT服务。服务标准要有一个标准来评价它，耗费的资源以及成效，有效性与效率，怎么样用最低的成本达到最高的功效？这就是管理的目的。接下来是IT 服务提供者，包括ISP 、系统整合公司、系统开发商、 IT 顾问公司、 IT 外包商、 IT 部门…… 　　ITSM的主要对象是IT 服务提供者，目的是达到客户及企业的需求。IT 服务提供者在管理体系之下提供服务，而不是由业务人员片面的、盲目的提供服务，满足客户或者企业的需求。客户的回馈及满意程度又作为输入，来改善IT 服务提供者的工作效率，又作为输出，来达到客户的需求，通过这样不断的循环，使管理体系达到最好的效率。信息服务管理体系的四个构面包括组织、过程、技术和人员。组织是要谁去做，用哪些技术支持信息服务管理体系，IT服务完整的过程包括哪些方面，管理过程需要很多人员的涉入，不仅包括IT部门，还包括其他部门。这四个构面形成一个非常紧密的有机体。这需要一个国际化的标准，不然很难做到。 　　ITIL 与 ISO/IEC 20000 的关系。刚开始没有标准的时候，我们也做了很多IT方面的服务。有的公司有了服务标准才做了IT方面的服务。有效性与效率的关系，服务提供的有效性，效率好不好。在金融危机的背景下，生产不景气，很多公司刚好利用这个时间，强化信息服务管理体系。我们这些过程怎么样才能改善？许多信息咨询方面的专家坐在一起讨论，大家把各自做得比较好的信息服务放在一起研讨，产生了最早的V2，后来又有了V3，ITIL提供了IT服务非常好的框架，ITIL是完全根据IT的服务过程做得，而且这个过程中间没有很详细的介绍，V2做出来后，做标准的人说要标准化，要结合ITIL的精神 ，V3结合基本核心，加入管理元素，这样就变形成了很好的管理体系，产生了ISO20000。ISO20000涉及实施与认证。ISO20000分为两部分，第一部分谈标准和要求，第二部分是实做指引，该怎样做。任何一个认证标准都不能谈做法，假如任何一个认证标准深入到做法，就会不客观。认证标准是要很开放的，它只需写出规范就可以了。ISO20000是信息技术与IT服务，与信息安全管理体系的关系又是怎样？IT服务不可能不顾及信息安全，但是否有必要做到ISO/IEC 27001——信息安全管理体系这么细致？没有固定答案，只是提到必须要做，只是在讲基本论述。IT审计就是提供IT服务的一些基本概念、IT管理等。ISO/IEC 20000与VSO999——业务连续性的管理也有联系，它包含的东西非常多，ISO/IEC 20000的核心是IT的服务功能，做完ISO/IEC 20000，不能说就有了信息安全管理。从审计角度看 ITIL 与 ISO/IEC 20000的关系，也就是从我的角度来看，ISO/IEC 20000标准基本无法涵盖所有的服务过程。我们审计的时候也不会从ISO的角度来看，也不会按照ISO/IEC 20000的第二部分即实施方法部分来看，我们只会从它规范的角度来看。通过认证并不能说明已经做完ISO/IEC 20000的需求了，也不能说明你所有的服务过程都被涵盖了，只是说明已经达到IT服务管理体系的国际标准的要求了。 　　ISO/IEC 20000系列标准是什么？它是第一个评估信息技术服务管理过程的国际标准，ISO/IEC 20000第一部分包括规范 ，可审计的标准；ISO/IEC 20000第二部分指作业要点，指导文件。ISO/IEC 20000采用整合过程的方法来有效提供服务以达到企业和客户的要求，可视为IT服务管理的质量标准。ISO/IEC 20000的历史与发展。95到98年，开始在英国发行指引参考文件，服务管理的实作指引。20000年开始发行自我评价文件，2003年2月在发行管理者手册。2005年12月25日，变成国际标准——ISO/IEC 20000。目前为止大约三百多家公司通过ISO/IEC 20000的认证。我去年在做类似演讲的时候大约有一百多公司在做，中国那时通过ISO/IEC 20000认证的大约有十几个公司，今年已经有三十几个，发展很快。在英国、日本、印度很多，前段时间我国出台的政策指出，以后的发展不仅要做制造业，还要发展服务业，印度为什么第一个去做认证体系？因为他们一直强调自己是IT服务，所以已经全部通过ISO/IEC 20000的服务认证。我国政府一直鼓励企业通过这个认证，各个企业都有必要去参考这个标准。 　　IT服务管理体系标准用到了管理体系中的PDCA方法论。企业要求、客户要求、新的或变更的服务需求、其它过程，如企业、供货商、客户，客服中心，其它小组，如安全、IT作业，通过管理服务，管理责任，包括规划服务管理，执行服务管理行动，监督、衡量及审查，使行动持续改善。企业的成果，客户的满意，新的或变更的服务，其它过程，如企业、供货商、客户。小组及人员的满意。 　　ISO/IEC 20000第一部分即IT国际服务管理体系之架构包括以下部分：1.范围，2名词定义，3管理系统的要求，4规划和执行服务管理，5规划和执行新的或变更的服务，6服务交付过程，7关连性过程，8解决过程，9控制过程，10上线过程。2、3、4、5章谈管理体系，6、7、8、9、10章是IT服务的必要过程。第三四章具体讨论IT服务管理体系需求。 　　第三章是管理体系的要求。目的是提供管理体统，包括方针和框架使其能有效的管理和执行所有的IT服务。一是管理责任。ISO/IEC 20000国际标准要求高级管理阶层参与其中。高阶管理阶层应该提供承诺来“发展”，“执行”及“改善”其服务管理的质量。他需要建立方针，目标，与计划，沟通改善的重要性和需要，确保达到客户的要求，指派管理的代表，决定提供其所需的资源，管理其风险，在所规划的期间进行审查。二是文档要求。服务提供者应提供相关的文档和记录以确保其有效性关键词: 文档、记录。文档化的服务管理的方针和规划，文档化的服务水平协议，文档化的程序，标准所要求的记录，建立文档管理的程序和责任。第三高级主管要提供职能, 认知和培训。有可能还要提供一些新的设备。所有角色和权责应该被定义和维护，成员的职能和培训需求应要管理和审查，应确保所有成员知道其工作的相关性和重要性。 　　第四章是规划和执行服务管理。企业要求、客户要求、新的或变更的服务需求、其它过程，如企业、供货商、客户，客服中心，其它小组，如安全、IT作业，通过管理服务，管理责任，包括规划服务管理，执行服务管理行动，监督、衡量及审查，使行动持续改善。企业的成果，客户的满意，新的或变更的服务，其它过程，如企业、供货商、客户。小组及人员的满意。策划如何来执行和交付服务的管理。涉及策划、执行、检查、行动。策划部分要定义出所有的服务管理都应要策划，计划中应定义范围、目的和要求，过程，框架及接口，方法，工具，资源，及质量管理等。执行服务管理和提供服务。执行服务管理的计划以达成其目标。包括：资源分配，文档化，风险管理；团队管理，报告系统；整合服务管理的各项过程。监督，评估及审查。监督，评估及审查服务管理的计划及目标。应用适当的方法以显示其能力，由主管执行定期的审查，是否符合计划和标准的要求，是否有效的执行和维护，内部审计计划和记录管理，审计计划应定义审计标准，范围，频率和方法。行动持续改善。为改善服务交付和管理的有效性和效率，服务改善的政策，持续的改善管理，采取行动来收集，分析，识别，设定目标，评估，修正，及确保其有效性。 　　6、7、8、9、10章是IT服务的必要过程。第一服务交付过程，第二关系过程，第三解决过程，第四上线过程，最后核心是控制过程，他一直存在与IT服务的过程中，起协调作用。这就是IT服务的必要过程。为了避免五大过程过于笼统，五大过程还细分为十三个子过程。建立的管理体系达到国际标准，必须要有五大过程，清楚讲出五大过程在哪里，十三个子过程分属于哪五个主过程，它们是怎样的关联。在座的各位在公司里可能用的不是这样的词语，那根据国际标准规范修改。服务交付过程是最复杂的，下面有6个子过程，包括容量管理，服务持续及可用性管理，服务水平，服务报告，信息安全管理，IT服务的预算与会计。控制过程包括组态管理、变更管理。关系过程分对内和对外，涉及企业管理管理、供货商管理。解决过程及事故管理、问题管理。上线过程就是上线管理。讲到这里各位已经对ISO/IEC 20000有了具体的了解，管理体系主要是三四章的内容，6、7、8、9、10章是IT服务的必要过程包括五大过程，十三个子过程。 　　我们下面是头脑风暴。如何让ITSMS协助企业，达成营运的目标与客户满意? 我们以“Bear Computer” 之计算机销售流程为例，来了解ITSMS的作用。通过市场营销，客户在线下订单，开始生产，服务交递，收费。“Bear Computer”最成功的地方是一周之内完成下订单和收费。这是企业营运服务过程，我们的关注点是与IT相关的部分，包括在线订单处理，订单追踪与问题楚理、客户管理系统等等。接下来是企业资源规划系统——ERP。涉及人事薪资系统 (HR)，进销存流程 (Logistic)，应收系统 (A/R)，应付系统 (A/P)，票据现金系统 (NOTES)，总帐系统 (G/L)，媒体申报系统 (VAT)，料表系统 (BOM)，生产计划流程 (MPS / MRP)制造控制流程 (WIP)，成本管理系统 (Costing)，质量管理系统 (Q.A/Q.C)，流程管制系统 (WF)，固定资产管理系统 (Fixed Assets)，广告牌制造管理(JIT)。从订单确认到收费，大约3天时间。但是经常会出现这样的问题，使用者，客户在收到东西之前，会后悔。我们速度很快，下订单后我们已经开始做产品，客户觉得东西还没拿，要取消。当订单取消时，就产生了额外的成本。我们怎样降低这样的额外成本？下完订单马上付钱，取消订单扣10%的费用，这就涉及支付系统及支付平台，这涉及现金流的问题跟基础设施，跟IT 有关的还有哪些方面？支付系统跟生产系统联系，客户钱没有付，我就不备料。我们的焦点是不让客户有后悔的机会，我们的解决方案是一天交货。我们以年终热卖——圣诞节档期案例讨论。企业营运目标是提高客户满意，快速交货，交货期由原本3天，缩短为1天，符合客户指定之规格，降低了“额外的营运成本”。如何达到“快速交货”企业营运目标?把三天缩短为一天？如何降低“额外的营运成本？” 如何透过信息系统的协助，达成企业营运目标? 这些IT系统之间的关系如何?当系统变更时，如何做好管理?我们讨论的这些东西，都没有办法跳出我们刚才提到的五大过程下面十三个子过程。各个系统之间的相依性如下表：客户通过市场与营销、订单管理、生产流程与管理、人力资源管理、财务管理，在投入资本市场。我们有这些问题需要大家思考。从何处开始 ? 数据库应涵盖那些配置项目？如何确保数据之更新？谁来使用？谁是数据库的拥有者？如何审核CMDB之真确性？这需要管理体系加信息技术。我们在亚太地区提供有关测试、评估、认证和支持服务方面的IT专业的安全服务领域。 　　演讲二：李巧巧 上海信息化培训中心 资深价值顾问 　　演讲题目：服务提供保障 价值成就未来 　　各位来宾，下午好！我是上海信息化培训中心资深价值顾问李巧巧。今天大家聚在一起来思考我们IT部门的价值在哪里。IT部门在公司里有没有得到认可，得到认可的原因是什么？得不到认可是什么原因？工作中我们面临的最大挑战是什么？我希望互动多些，我能得到更多反馈，使交流越来越清晰，给出的意见也更有针对性。IT部门所做的工作有没有得到领导的认可？IT部门在企业里是一个辅助部门，是支持部门，是烧钱的部门，而不是创造价值的部门。一位上海通用汽车公司的IT部门负责人形象的说IT部门是空气，当它在的时候我们感觉不到它的存在，但是当它不能正常运转时，企业马上就窒息了。这句话形象的说明现代企业离不开IT部门，这是我们通用近十年总结出来的，IT部门对企业的价值非常大。 　　《信息周刊》2008十月刊有这样一段话，CIO如何“防寒过冬”“难以证明IT的价值”、“IT技术难于推动管理进步”、“难以看到IT给企业带来利润增长”是经常困扰CIO的问题，也是目前国内企业CIO的通病。尤其是面对金融危机之下，市场低迷，企业降薪裁员风生水起之际，CIO及其团队要保住饭碗，必须要凸显其存在的价值和意义。我们要思考我们IT部门在企业中的价值。这段话很能代表我们IT主管的心声，面对种种困难、挑战与危机，如今是CIO未雨绸缪深谋远虑的时候。巴菲特有一句名言说：只有在退潮的时候才知道谁在裸泳。这就是做在这个时侯以价值为导向的企业才能更好的生存下来。IT部门要以一种非常科学、合理的方式展现给企业。我们看一下2008全球CIO前十大管理挑战。这是美国一个媒体对430位CIO做得调研。高达60%的受访者提到改善IT与业务目标的融合，然后依次为 　　改善IT规划流程、提升项目管理能力、减少成本、提高IT支出的投资回报率、提升领导力与管理能力、提高应用系统开发能力、招募与保留IT职工、实施ITIL、改善技术培训。一会我们就会讲到IT与业务目标的融合。提升项目管理能力，我们需要在一个规定的时间内，以有限的资源完成高质量的成果。项目管理如何把结果量化出来直观展示给客户或者领导。对于企业来说，减少成本是永远的话题。企业要为股东创造效益，创造效益有两个元素，一个是增加收入，一个是降低成本，二者求差就是利润。老板对每个部门都是这样考虑成本，提高IT支出的投资回报率，这是我们大家很想做但是又不知道该如何去做，投资回报率需要量化。大约70%到80%的CIO都会面临这些挑战。 　　IT价值评价方法很多，依次为运营速度加快、质量提升、处理能力提升、成本替代与规避、投资回报率（POI）、直觉、内部用户调查、净现值、经济增加值、内部回报率、盈亏平衡点分析、供应商调查。排名居前的评测方法都没有使用必要的财务工具，都没有量化，变成了一种制度，不能管理，老板也不知道改善了多少。传统的ROI只排名第五名，居然有1/3的企业依靠直觉来评测IT价值，这样的判断主观性太强。一些大的企业例如电信、移动会通过内部用户调查考察对IT服务的满意度。净现值、经济增加值、内部回报率、盈亏平衡点分析是财务来计算的。供应商是我们的合作伙伴，通过他们也可以调查对IT部门的服务感觉如何。总之对IT价值评价方法很多，非常凌乱，有定性的、有定量的，不是很系统、清晰，不能展示IT部门的服务价值。这是IT部门存在的一个问题。如何展示IT部门的价值？IT价值管理的方法论框架包括IT成本分析与成本模型、IT成本管理、IT与业务的融合、决策管理与决策价值、IT投资分析工具、服务价值分析、项目价值管理。IT与业务的融合是最重要的，包括财务方面、流程方面、创新方面与客户方面。我们需要一些工具来展示IT的价值，包括IT成本分析与成本模型、IT投资分析工具、IT成本管理。我们IT部门一般包括项目性和日常性的工作。IT部门的价值如何体现在项目性和日常性的工作中？ 　　IT与业务如何融合呢？核心是企业的远景与策略。这个远景如何实现呢？美国哈佛大学的一位教授在90年代通过对运作很好的一些公司分析调查，发现了这个平衡积分卡。长期目标与短期目标的平衡，内部管理流程和外部客户服务平衡，财务和非财务的平衡，不仅注重效益，还要注意非财务方面，每年培养一些中层领导，为企业储备人才，这样企业主管要实现远景，必须考虑四个方面，第一是财务方面，作为企业，就是为股东创造价值。第二是客户方面，维护好客户，保留老客户，开发新客户，第三内部流程畅通，第四是创新和人才培养方面。现在很多企业是依靠人才而不是依靠设备，所以人才的培养十分重要。IT与业务的融合就是从这四个方面融合，IT部门在这四个方面能做什么呢？财务可以做两个方面一个收入一个成本，IT价值的呈现包括两个，一个是技术价值，即效率提高，成本降低，创新方面包括如何开拓市场，增加企业份额，为企业开拓新的领域，为企业带来新的增长点。流程方面包括IT内部的整合，更加有效的运做。也要做企业的流程，更好的展示IT部门的价值。在企业内部，最有可能创新的部门就是IT部门。每个角度我们IT部门都可以去跟业务融合，展示IT部门的价值。 　　IT成本分析。我们需要考虑下面的问题。财务上可行吗? 数据中心大集中可行吗? 重新分配可行吗? 外包可行吗? 要投资哪个项目? 服务值得改善吗? IT的价值是什么? IT支出恰当吗？是否用到正确的地方去了？IT对业务带来的好处有哪些? 是否从IT支出中获得了好处? 是否为IT作了正确的战略投资? 如何才能明白或者表明IT的价值? 哪些地方能够节省成本?采取什么措施来减少IT支出? 怎样与同行的支出水平相比较? 　　IT成本模型，包括建立成本基准线的角度和预测的角度。建立成本基准线的角度包括：从IT 绩效管理组织的角度考虑IT组织的成本模型，从IT 成本管理、服务的角度考虑IT服务的成本模型，从最终用户的角度考虑总体拥有成本的模型。通过项目商业价值分析从项目的角度预测包括：投资项目的成本模型，例如自制和外包的决定。 　　IT项目商业价值分析。解决方案包括建立企业门户网站、人事管理系统、销售管理系统、ITIL实施、采购系统，通过商业价值分析模型，分析成本和收益。IT项目决策管理首先收集项目清单，基于业务融合的评审，根据评审结果，基于业务价值的评审，使用投资框架评估结果，经批准的项目清单，为企业带来价值。IT服务价值分析通过IT服务的效用性与保障性，提高客户资产的性能，提高投资回报率。 　　我们希望通过实施ITIL，给企业提供保障，如果企业想走的更远，一定要有这样的价值观念，上海信息化培训中心站在企业的角度思考，提供了这样一个培训机会，如何更加科学展示商业价值，我们通过20000这个课程，希望可以为企业带来更多效益。 　　最后再次感谢主办方上海信息化培训中心，期待再次相聚Future S中国管理论坛。