ITIL4 策略與方向

21 min readOct 14, 2023

Service Provisioning的成功需要採取協調一致的行動來實現商定的目標。本文探討Service Provider戰略的建立和管理，目的是先對戰略的性質、範圍以及與方向的關係有基本理解，然後為方向(Direction)與戰略一致的活動提供指導。

本文中所描述的大多數概念和方法可以有效地應用於組織的所有領域，只要它們在相關的控制範圍(Scope of control)內並且與組織的大方向保持一致。

戰略管理

戰略管理包含:

明定組織的使命、願景與目標
發展能實現使命和目標的政策和計劃
分配資源以實現政策與計畫

透過戰略管理，組織整合其能力和職能領域的活動，以實現長期目標。戰略績效管理工具通常用於評估財務和非財務性績效以及實現長期目標的進展。

戰略管理實踐的目的是制定組織的目標，採取有效的行動方案，並分配實現這些目標所需的任何資源。這種做法確立了組織的方向，集中精力，明確了組織的優先事項，並提供了應對環境的指導。

每當服務提供者組織成立時，它都會利用 SVS 發展其商業模式。商業模式應該反映消費者(可能是客戶會內部使用者)想要什麼、他們希望如何交付以及組織如何提供令人滿意的產品和服務。

由於以下原因，戰略思維和行動可能會很困難：

定義和實施其戰略涉及複雜的問題，例如對組織的衝擊、不確定性以及優先事項和目標之間的衝突。 經驗和實踐法則並不永遠能解決這些問題。
支持戰略思維的機率分析和評估通常涉及複雜的工具、環境、模型和技術來分析當前模式、預測趨勢並估計每個趨勢呈現的機率和影響。
重點放在四個維度：SVS、SVC以及它們之間的所有交互作用，需要特別關注。戰略的範圍可能令人生畏，但還是要考量這些因素。

應對複雜性和不確定性的戰略家可以利用 ITIL Guiding Principles來闡明和減少產生的任何挑戰。

有著良好定義的服務提供者戰略將使服務提供者對服務消費者俱有獨特的價值。交付和維護這種獨特的價值主張應該成為戰術和戰技(營運)決策的關鍵考量因素。

服務提供者不應期望或依賴服務消費者的忠誠度。由於服務提供者無法控制的因素，消費者的觀點和需求可能會改變。服務管理的戰略觀點意味著投資與服務消費者的關係，並接受這些關係的不確定性並為這些不確定性做好準備。

戰略一致(Strategic alignment)

戰略管理實踐通常支持組織的長期目標。組織戰略通常由組織的CEO制定，由其董事會批准，並由其高階主管實施。

旨在與其服務消費者建立合作關係或夥伴關係的服務提供者應了解服務消費者組織的願景和戰略。將服務提供者的戰略與服務消費者的戰略保持一致可能會很有用。在夥伴關係中，合作夥伴共同努力確保戰略對其或採用共同戰略。一個例子就是內部 IT 部門的戰略與上層組織的戰略保持一致。

組織必須平衡對單一戰略的承諾與定期重新評估，以確保該戰略保持相關性。如果服務提供者的戰略和由此產生的指令過於靜態，該組織可能會危及其企業的生存能力。然而，如果戰略變化過於頻繁，組織可能會難以適應與無法克服現行作業產出的壓力。

辨識相關的控制範圍

戰略只能在相關的控制範圍內被定義。例如，IT 部門無法定義組織層級戰略；它只能與組織戰略保持一致並相應地定義IT戰略。但是IT部門可以影響他們控制範圍之外的戰略。例如，如果 IT 部門在其範圍內發現了新的發展機會，這些機會可能使組織能夠追求以前不切實際的戰略。

級聯目標(cascading objectives)

當組織的使命和戰略被員工理解後，目標就可以從它們中級聯(cascade)出來，將戰略從一個組織層級轉譯到下一個層級。這確保了組織的戰略、戰術和戰技(營運)保持一致，並允許透過回饋循環報告其成就。因此，C-Level可以監控績效並做出適當的業務決策。

下圖的目標級聯顯示了一種情況，其中服務提供者組織是一個更大的集團組織的一部分，該集團組織設定了整體組織使命和戰略。

級聯需求(Cascading requirements)

正如目標和計劃在整個組織中級聯一樣，實現這些目標和計劃所需的資源的需求也是如此。需求可能與服務管理的四個維度中的任何一個相關，如下圖所示。 戰略的實現取決於對服務管理的所有四個維度的關注。

定義用於指導”行為和決策”的結構和方法

組織中的決策必須與其使命和戰略保持一致。組織經常使用許多不同的結構和方法來進行決策以及指導"活動和行為"。本節將探討決策中所涉及的治理結構(Governance structures)，以及將它們置於正確的層級。

用於決策的治理結構

所有企業或組織均存在內控機制；內控機制保護組織的資產、獲利能力和聲譽。企業治理促進"有效、創業精神和審慎"的管理，從而促進長期成功。

下圖概述了主要治理結構及其角色。一個組織可能不會使用所有這些結構，但它們的角色應該由某人來履行。

組織以多種方式建立符合治理結構所指導的內控，包括：

風險管理
財務控制
營運控制
合規控制

董事會負責確定其在追求戰略目標時所接受的任何重大風險的性質和程度。董事會應維護風險管理系統和內控系統，並至少每年審查其有效性。

除非董事會授予該權力，否則任何單一部門都無法自行管理。當服務提供者是較大組織的一部分時，上層組織的管理機構就有其權利對服務提供者進行管理。

有些組織根據每個層級的控制範圍，在較低層級下放權力並執行某些治理活動。在這些情況下，組織的董事會監督委授權的活動，以確保與組織的目標一致。

ITIL SVS 可以應用於整個組織，也可以應用於其一個或多個部門。當 SVS 應用於某個部門時，應該理解治理組件是來自上級組單位。董事會並不是在空氣中運作。他們必須考慮外部因素，例如法規和法令。例如，沙賓法案用於美國的上市公司。沙賓法案的主要目的是確保上市公司發布資訊豐富且準確的財務報表。遵守此類立法的要求會極大地影響董事會及其向組織提供的方向。

將決策置於正確的層級

治理決策(Governance Decision)由組織的最高層級制定，但大多數決策應由組織內的其他團隊或部門制定。只要能夠持續產生所需的結果，就應該授予盡可能多的權力。

當每個人都有明確的角色並知道自己的控制範圍時，他們就可以在該範圍內做出決策並推動富有成效的行動。如果他們的控制範圍太小，決策將被迫向上，從而減慢作業速度並使決策者負擔過重。無權做出本應在其職責範圍內的決策的員工可能會感到自己被低估，這會導致生產力低下、不願意接受新的責任以及創新行為。

評估給予決策權的一種方法是權衡風險。存在重大風險的決策應透過提供更多結構和審查的機制來做出。風險較小的決策應盡可能由執行相關工作的人員執行。這項策略避免了不必要的延誤，並向員工保證他們是值得信任的。當透過訓練、自動化、政策和指導方針來緩和風險時，大部分決策可以放在戰技(營運)層面。

治理對指導、規劃和改進的影響

在指導、規劃和改進的背景脈絡下，治理的影響是顯而易見的。董事會的指導將決定整個組織發布的指導參數。如果給予員工個人的指示與董事會的大方向相矛盾，那麼員工個人就會陷入困境。員工不能遵循違反組織的大方向，但他們也不能忽視主管的指示。組織必須仔細、公平地溝通和監督其治理決策。

治理決策和指令是所有規劃的關鍵輸入。通常，制定計劃的明確目的是確保遵守或符合董事會定義的戰略目標。制定此類計劃時必須充分了解成功結果的構成要素。當組織發布新指令或定義新戰略時，應審查當前計劃以保持一致。

最後，與治理指令保持一致是每個改進機會的重要元素。改善實踐、相關流程和價值流可以提高組織對指令的遵守程度。 SVS 的每個要素都有助於實現戰略目標，因此需要不斷改進。

風險管理在指導、規劃和改進中的作用

風險無所不在；必須主動管理，以確保組織的目標得以實現。如果在不考慮風險的情況下給予方向，相關目標的實現就會受到懷疑。不注意和減輕風險的計劃是不完整的。 如果風險未知且不加以管理，改進就不可能成功。

風險管理在指導中的作用

風險管理實踐(Risk management practices)應該要持續運用，並在決策時闡明有關風險的資訊。關於風險的決策將根據風險是否與長、中或短期組織目標相關而有所不同。

長期目標透過戰略決策來實現，並為組織其他部門的決策奠定基礎。這可以透過定義風險偏好(Risk appetite)和風險閾值(Risk thresholds)來完成。與戰略決策相關的風險可能要幾週或幾個月才會顯現出來。因此，定期評估和審查這些決策以及相關風險至關重要。在確定產品和服務、專案和客戶的風險以及探索減輕這些風險的方法時，組合管理實踐(Portfolio management practices)至關重要。
中期目標通常反映在專案組合(Project portfolio)中，並涉及授權給會產生業務變革的方案(Program)和專案(Project)。與中期目標相關的決策範圍比與戰略相關的決策範圍要窄，特別是在時間範圍和財務責任面向。中期目標面臨的風險可能會更快顯現出來，從而能夠更快地對其進行管理。
短期目標在營運層面解決。然而，該層級的風險決策也必須支持長期和中期目標的實現。

組織中的每個人都有責任參與風險管理並為風險管理做出貢獻，因為每個人的行為都有潛在的風險。 主動管理風險應該成為習慣。然而，如果決策者有犯錯，組織不應歸咎於其。 犯錯是改進的機會，而不是責備。

組織應提供指導方針、方向和支援，以便員工知道他們可以接受哪些風險以及哪些決策必須往上呈報。

風險管理在規劃與改進中的作用

所有計劃都必須考慮相關風險以及如何管理這些風險。如果某個計劃的風險太大，則可能需要採用替代方案。必須考慮計劃的每個要素，並針對無法消除的風險制定緩解計劃。此外，當計劃正在進行時，必須主動管理風險直至完成。

這些風險管理要求也適用於改進活動。 改進需要變革：變革涉及風險。在提議採取行動時，應考慮採取行動的風險，但也應考慮不採取行動的風險，這兩者同樣重要。例如，如果組織選擇不使用雲端運算以避免系統搬遷時產生不穩定的風險，那麼它可能會面臨更大的風險：原有的舊系統已沒有支援的風險。

組合管理(Portfolio Management):關鍵決策實踐

組織通常會投入大量資金來實施其戰略。這項投資反映在他們發展和維護的投資組合中。為了實現業務目標，組織會有專案進行，這些專案組合起來形成其專案組合(Portfolios)。尤其是服務提供者組織的產品組合，是闡明其整體策略的關鍵成品。專案組合管理實踐的目的是確保組織有正確的方案、專案、產品和服務組合，以便在其資金和資源的限制內執行其戰略。

發展和維護任何投資組合都需要考慮營運和戰略優先事項，決定如何部署組織的有限資源（包括資金、人員、基礎設施和設施）以達到最佳效果。與組織戰略不相符的現有產品、服務、專案、計劃和客戶等組合可能必須重新調整或終止。正在進行的方案和專案也可能暫停，而支持該戰略的方案和專案則得以交付。

下圖呈現投資組合管理與BAU(Business-as-usual)狀態之間的關係。

進行"方案和專案"是為了在組織的某些領域實現變革，但與大範圍業務的開展對於成功至關重要。對於服務提供者來說，專案和方案有助於在市場上定位產品和服務，並部署或改變它們的交付方式。因此，組織的服務組合(service portfolio)的變革通常會導致專案和(或)方案組合的變化。

服務組合

傳統上，服務組合可以提高組織所投資的服務的可見性(Visibility)，這些服務包括：

已被提議或准許的(Charter — 也就是正式的公告)
可以被交付的
是主動交付的
已退役的

服務組合決策反映了服務提供者的價值觀：其願望、整體發展戰略以及對消費者(客戶)的理解。儘管財務論證可能不支持服務組合，但某些服務組合決策是為了支持關鍵需求而做出的。 必須密切監督此類服務，並對其價值進行持續量測和測試。建構和交付成本高昂的服務在最初構思時可能具有足夠的價值來證明投資的合理性，但隨著時間的推移，這種情況可能會改變。

優先考量並優化投資組合決策和溝通

投資組合的優先順序和最佳化的目標是根據商定的準則(criteria)對投資組合中的項目進行分類。 最常見的準則是財務標準，例如成本和價值；其他可能包括戰略一致性、風險和複雜性。在決定哪些投資能夠增加最大價值時，確定投資組合的優先順序至關重要。未能確定優先順序通常會導致每個專案嘗試使用相同的資源同時交付，進而引發混亂並會增加失敗的風險。由於資源限制而未能確定投資組合變更的優先順序，也會產生類似的風險。優化投資組合可能涉及增加資源量能或將低組織的承諾。

組織應建立反映其價值觀和戰略目標的優先框架，並每年進行審查。 使用框架可以減少專案組合優先決策的主觀性並有助於一致性。用於確定投資組合優先順序和最佳化投資組合的既定技術應由有權做出投資組合決策的人員進行驗證，C-Level應確保其對組織是有意義的。對決策做出優先順序通常涉及風險、延遲成本、對組織的潛在價值、所需的作業量以及戰略一致性程度等因素。框架的每個要素都應進行加權，以反映組織如何受到這些因素的影響，並且這些權重應透過與C-Level和策略管理層(通常是董事會)的討論來確定。根據優先框架(Prioritization Framework)對專案和服務進行評估，以確定其相對優先順序。有時，戰略目標的優先順序與當前投資並不匹配。當這種情況發生時，它提供了透過重新調整投資來優化投資組合的機會。投資組合管理實踐指南提供了有關優先架構和技術的詳細資訊。

與組織的SVS 的每個重要面向一樣，投資組合和與投資組合相關的決策應傳達給相關利害關係人。 SVS 應制定一份溝通計劃，其中包含利害關係人資訊、教育或認知活動的詳細資訊以及誰應該參加這些活動。 良好的溝通計畫也將定義如何確保訊息被接收和理解；方法包括調查、訪談和利害關係人在會議上闡明他們對策略及其影響的理解。

商業論證(Business Case)的構建、溝通與倡議

商業論證的定義:
組織資源支出的理由，提供有關成本、效益、選項、風險和議題的資訊。(A justification for the expenditure of organizational resource, providing information about costs, benefit, options, risk and issues.)

與任何投資決策一樣，每個新產品、服務或變革都應該有正式商定的商業論證。商業論證是一種決策支援和規劃工具，用於預測業務行為的可能後果。商業論證可協助組織比較所提議出來的投資組合變更及其相關支出。

構建一個商業論證
商業論證的內容和結構各不相同。組織可能在其所有業務論證中要求相同的內容，或根據提議的投資可能有不同的要求。無論如何，商業論證應該清楚地識別提案以及從需求到價值所涉及的效益和風險。它應該回答C-Level經常提出的問題，解釋為什麼需要該提案並證明投資的合理性。下面是一個簡單的商業案論證結構。

元素有:

緒論(Introduction) —
呈現並總結商業論證。它描述了提案及其所涉及的業務目標
使用的方法和假設(methods and assumptions used) —
描述用於建立商業論證的方法、用於定義成本和效益的組織背景脈絡和假設，以及商業論證的邊界或限制
業務影響/成果(business impacts/outcomes) —
描述商業論證、定性(Qualitative)或定量(Quantitative)的預期成果
風險和意外事件(risks and contingencies) —
描述與商業論證相關的風險，無論是否採取行動。它描述了進展(Progressing)的選項以及解決失敗風險的緩解計劃
建議(Recommendations) —
根據商業論證中的所有資訊描述並闡明建議的運作

財務分析是大多數成功商業論證的核心；許多組織對於支援不同類型的商業論證所需的財務分析的類型和格式都有具體的指導方針。投資組合優先架構可以提供應包含在業務論證中的資訊，因為該資訊預計將用於確定投資的優先順序。在開發商業論證時，協作方法可能很有用，可能涉及C-Level和利害關係人的研討會。要問的關鍵問題包括：

我們要解決甚麼問題?
產品/服務的範圍是甚麼?
誰是消費者(客戶)?
我們預期的成果或增加的價值是甚麼?
我們如何量測它成功了?

商業論證必須證明產品或服務將增加價值和(或)帶來持續性的改進。在建立商業論證時，重要的是要現實地看待可能發生的事情。在評估預期利效益時，我們要考慮可能限制變革潛力的組織條件或限制。這些可能包括：

變革的步伐 —
提議變革的規模必須與組織的適應能力相符（也要考量到當前的其他變革舉措）。
文化 —
組織的文化將促進或抑制變革。實踐不一致的組織需要與具有高度合規文化的組織有不同的時間尺度和方法。 改變文化是非常困難的；嘗試這樣做可能會將所需的變革速度減慢數月或數年。
資源的可用與量能 —
根據可用資金的情況，可能必須利用現有資源來實現變革。如果需要更多資源，則需要另一個計劃和商業論證。
預算限制 —
可用預算的來源和金額將限制提議變革的範圍。此外，確保新產品或服務滿足所有相關利害關係人的需求也很重要。那些資助變革的人可能會優先考慮自己，因此商業論證必須明確傳達每個人的需求。

商業論證應針對正確的管理階層，並且，如果存在商業論證審核流程，則應透過該流程達成協議。如果商業論證沒有突顯對組織領導層有價值的好處，並且沒有展現出對組織戰略目標的貢獻，則應拒絕該商業論證。儘管可能存在正式的審核流程，但人們仍然會參與商業論證的審核。 格式和語言的選擇將影響審核；在政策和需求的範圍內，深思熟慮的寫作可以將重要觀點放在有利的背景脈絡下。

最佳實踐是在正式審核商業論證之前做好準備。與利害關係人談話進而了解他們的優先事項、審查組織目標、檢查現有投資組合是否存在潛在衝突以及預測反對意見，這些都是在倡導商業論證的批准時會增加成功的機會。

一旦商業論證提交進行評估，一些組織就會要求將其正式提交給有助於其最終批准或拒絕的人。這使得倡議者能夠回答任何問題並減輕對其提案的任何擔憂。

如果商業論證獲得批准並開始進行，則不應忘記該商業論證。相反，它應該被用來保持主動性。 其相關作業應旨在實現商業案例中定義的具體成果並管理其中概述的風險。監督商業論證的假設，以確保專案以適當、及時的方式適應條件的變化。根據商業論證建立指標，以驗證是否實現了承諾的結果。

透過GRC(治理、風險和合規性)進行指導

GRC是用來確保組織正在做對的事。

理解 GRC 在決策以及指導戰略和行動中的作用

確保GRC得到適當解決可能是複雜且耗時的。組織根據其規模，可能有一個人或團隊負責實施董事會的決策和任何 GRC 活動。董事會理解 GRC 職能相對於其他部門的角色至關重要。董事會必須了解 GRC 職能部門在以下方面的職責：

作出具體授權決策
根據這些決策向組織的其他部門提供清晰的訊息
監督管理團隊在實施實現董事會目標所需解決方案方面取得的進展

組織的 GRC 職能應與董事會、管理團隊、稽核人員和其他人員合作，將組織的展略和方向轉化為計劃、政策、控制和指導方針，並由監督和衡量合規性的方法支持。此功能可以幫助 SVS 和SVC中的每個人將合規性所需的實踐、戰略和控制構建到價值鏈活動中。

定義有效的政策、控制措施與指導方針

在定義政策、控制措施和指導方針時，重要的是要記住首先定義它們的原因。制定了政策但不遵守的政策是沒有用的。無效的控制措施根本不是控制。如果指導方針所適用的人無法使用它，那麼建立指導方針的精力就是浪費。

組織的政策是其控制其環境的一部分。以下提供了有關制定有效政策的建議:

清晰簡潔 —
一項政策必須易於理解才能被遵循。除了政策本身之外，還要盡可能清晰、簡潔地記錄其目標和範圍以及其對組織的重要性。
保持簡單實用 —
讓員工很容易地知道他們需要做什麼（或不做什麼）、如何以及何時做，還有他們應該使用什麼工具和(或)系統。
預見問題 —
考慮員工可能對政策提出的問題。改進措辭並加入FAQ可以在提出問題之前回答許多問題。
教育與溝通 —
實施新政策時，確保利害關係人團體接受如何遵循該政策的教育訓練。如果不需要正式的教育訓練，請適當傳達政策，以便利害關係人能夠支持。
建立靈活性 —
政策的任何例外情況均應在文件中說明。在相關人員無法控制的情況下提供彈性尤其重要。 應該始終有一個要求、考量和解決政策例外情況的流程。
訂出不合規的後果 —
應記錄不遵守政策的後果。然後必須一致和公平地管理這些後果，以防止政策被忽視。
內建量測和合規性驗證 —
定義政策後，必須定義並實施衡量合規性的方法。遵守政策的人應該受到讚揚；而沒有遵守的人應該再次有教育訓練和指導，直到他們也遵守為止。
提高透明度 —
政策文件應該在整個組織中都可以存取。員工應該能夠在需要時參考政策。
啟用回饋 —
政策制定應該是協作完成的。這樣，利害關係人就能更理解政策，感受到有投入，也更有可能提供支持。

組織應該有提供政策回饋的機制，包括投訴和改進建議。也應收集回饋，並就所採取的行動進行溝通。

有效的控制措施

當組織實施控制措施時，他們的目標是確保每項控制措施都能產生預期的結果，而不會產生預期外的不良後果。但控制措施不是百分百的能夠被保證。例如，組織可能希望確保某些資料可用於稽核目的。它可以控制其資料輸入系統，以便在要儲存新記錄時需要相關欄位。但是，當無法存取所需資訊時，員工可以輸入一個placeholder value來保存記錄。在這些情況下，這些值可能永遠不會以正確的資訊進行更新，導致錯誤的資料和可能的審核失敗。

測量和報告是常見的控制措施。收集、處理和報告資料是為了驗證是否正在執行所需的運作或是否滿足商定的目標。然而，衡量每件事是不切實際的。 測量應僅限於那些可以積極用於做出明智決策的測量。只要確定能確保實現商定目標所需的相關衡量標準符合「focus on value」的指導原則。然而，在設計組織性措施時，重要的是要考慮外部因素，特別是法律因素，這些因素通常由監管機構強制執行，應被視為強制性的。 監管控制不能被邊緣化：這樣做會增加組織的風險。

自動化控制或將其建置到技術中可以減輕員工使控制作業的精力。以這種方式管理的控制措施應直接符合並支持C-Level目標的實現。然而，控制措施可能會失敗或被規避。組織必須根據後果定義每項控制措施可接受的變化或不合規程度（如果有）。

有效的指導方針

指導方針不是要求，而是建議，允許在使用時酌情考量。為了讓指導方針有效，它們必須易於存取、理解和遵循，並且必須真正有用。沒有必要為組織中的每項任務提供指導方針。它們可能在以下任務中才有用：

由許多人執行，但在沒有協助的情況下看起來很一團亂
與過去的作業執行方式不同
不經常執行的作業，但該作業需要具一致性
如果共享組織的專業知識，可以更容易或更快完成

在制定指導方針時徵求意見通常很有用；最接近某項任務的人往往是實用建議的絕佳來源，並且會想到重要的資訊(否則可能會被忽略)。保持指導方針最新和正確的機制也至關重要。如果指導方針過時或不正確，其使用性和有效性就會下降。

定義與確保合規

組織治理應確保:

評估利害關係人的需求、條件和選項，以確定是一個平衡且既定的目標
透過"優先順序和決策"來決定方向
根據既定方向和目標監控績效和合規性。

內部和外部利害關係人，例如主管、內部稽核員或監管者，有助於確保組織遵守規則和法規，並擁有正確的治理系統來體系和維持績效並遵守合規性。組織實施的合規機制的設計和範圍將受到監管環境的強烈影響。這可能包括多個監管機構實施和執行的國際、國家、地方、產業和公司法規和標準。

有些組織發現自願遵守比必須遵守更嚴格的法規很有用。這種方法既有助於提升組織的形象，又可以提高其遵守未來可能推出的法規的準備程度。

總結

戰略管理是組織為所有利害關係人"定義、指導、創造和實現"價值的重要工具。通常，組織有遠大的抱負，但沒有投入足夠的時間來實現它們。規劃和制定正確的戰略對於組織的成功至關重要。

一旦定義了正確的戰略，組織還需要"指導和管理"最終行動的機制。 風險管理和投資組合管理實踐以及治理結構的正確使用對於成功實施高階策戰略至關重要。