ITIL or not ITIL? That is not the question

ZDNet 鍾翠玲

ITIL反對論
「ITIL原本應該是一種練功的工夫，個人修為比教你心法更是成功關鍵，」黃以任以武功為比喻指出，有的人適合練輕功，有人適合金鐘罩鐵布衫，而且沒有好或不好的絕對值，只有同產業領導公司的經驗可以比較。也就是說，ITIL本來就沒有要"冒充"標準的意思。

v3相較之前版本，已有所改進。ITIL v3包括的planning, designing, delivering, operating and improving，已帶入服務生命周期概念，不像v2那樣只強調流程。由於更考慮使用者、策略因素以及對業務、財務面的衝擊（即風險），v3也更要求IT能力具備專案管理及服務組合管理的能力。此外，在某些部份，例如request fufillment、CMDB等也解釋的比較清楚，減少因人有各種詮釋的造成的差異。同時，比v2也更強調做的必要性。

但有些人認為，正因為缺乏嚴格規範，因此萬萬不可行。由於缺乏BS 7799或ISO 120000 的明確的控制項目 ，很多細項單憑詮釋執行結果就不同，少了完善內稽內控，也很難確保今天和明天的事件管理都可以嚴格執行；ITILv3依舊未明確說出該做到什麼程度才算對、什麼事應該怎麼做。
此外， ITIL所謂的best practice也被許多人質疑，因為沒有最好的，只有在組織成員共識基礎之上，最適合某個組織的管理作法。然而服務生命周期的概念, 雖然比較接近真實世界的情況，不過也不能稱之為"best practice"。

ITIL不提供標準化的績效測量方法也是致命傷之一，因為各種專屬的測量方法，像是顧問公司Pink Elephant及Lucid之間無法比較熟好熟劣，以變更管理而言，各家公司做來不同，當然也難以提供彼此比較的基準。許多人士認為，為此，ITIL最好結合如ISO 17799, ISO20000等認證 (當然取得標準認證的成本、組織改造作業及文件準備工作，又是另一回事了。)

許多較溫和的反對論者認為，ITIL是較過去已有改進，只是對企業而言，未來版本還有許多可以期待。

唯一不變的是「變」的文化

事實上，就連提供ITIL導入的顧問也指出，改變才是重點，而不是用什麼工具或方法，包括ITIL；形塑一個「變」的文化才是成功提升作業效率的要素，要是員工無法認識改變的必要性，就可能會因為流程改變造成的不適性或生產力降低而質疑、甚至抗拒任何新制度帶來的變動。

HP軟體事業處資深顧問王秉慎建議，企業可結合ITIL執行與人事績效，增加改變的成功率。他以Service Desk為例解釋，若一般員工不願配合已改變的IT報修流程，例如不先查詢自行修復FAQ，或撥打IT部門報修專線，還是習慣自己把筆記型電腦搬到IT部門，則加以紀錄作為績效考核參考。「若未搭配人事績效評估，則就算流程設計再好，較難發揮強制力，」他說。

所有專家都指出，CIO是導入變的文化過程中的靈魂人物。由CIO領導的跨部門小組，將在專案過程中扮演各部門溝通協調，並帶動確實的執行過程。CIO也必須相當清楚導入的目的，並且知道自己在做什麼，IBM全球IT服務事業部顧問經理陳俊昌解釋，數據化的KPI固然能夠清楚衡量績效，但ITIL和導入工具、一般IT產品有很大不同，不會立即見效。「ITIL比較像蓋小學、文化營造，效果與改變有時是逐漸累積。」

陳俊昌表示，因為ITIL牽涉到組織行事流程、文化的改變，具體的效果可能要導入後兩、三年才會真正反映出來。因此「CIO心中的藍圖必須非常清楚，否則可能一開始訂定KPI時即出現偏差、過於理想化，導致後續表現不如預期，或是一直看不到成效，影響整個計劃執行的信心，甚至失敗，」他說。

不過，雖然ITIL固然需要強有力的執行意志，但仍然必須取得員工的了解與同意。如果總是採取強制的作法，只會更激發人員的抗拒，終究會失敗，Johnson指出。CIO應該站在使用者立場解釋ITIL的好處，訂出大家都能同意的目標，同時給予一定的訓練降低改變的挫折感。

這也是為什麼許多較有錢的企業為了加速改變力道(克服內部障礙)，乃引進IBM/PwCC、Quint、Pink Elephant或是KPMG、E&Y等顧問公司，就是顧問負責「扮黑臉」。

同時，結合ISO標準認證，或是六個標準差，正有如考試客觀評判同時發揮敦促效果。

該選ITILv2、v3、還是ISO認證？
然而，既然ITIL不一定足夠，這也意謂著企業IT部門必須在有限的金錢、時間，決定如何增進自我功力。第三版的問世，對已經取得第二版認證的企業來說，可能面臨是否要多考一道試—以及多花一筆錢；對沒有拿的企業，則可能擔心該選擇哪一種。他們也可能想問，該不該拿到ISO認證？ 唯一不變的是「變」的文化 。Quint顧問黃以任指出，改變才是重點，不是用什麼工具或方法。

亞洲國家的企業似乎擔心更多一些，這和本區域和歐美企業看待ITIL的態度有關。雖然ITIL起於英國，美國也自2005年起開始風行，但取得ISO20000認證的歐美企業數並不那麼多。根據itSMF的數據，2007年8月為止，英國通過ISO/IEC 20000認證的企業家數最多，共43家，但去年才13家的印度，今年則新增24家。其餘則為韓的24家及日本的19家。台灣則為4家，宏碁、IBM台灣、環保署及中科院等公私機構。歐美取得ISO 2000認證（以英國而言，目前有40多家。）原因是他們「認為沒認證事情一樣可以做得好，認證只是花大錢，」黃以任指出。

反之，在某些亞洲國家，ITIL卻反而需要靠取得ISO 20000認證來帶動企業的意願。「客戶也不諱言，他們就是要一紙認證，」黃以任說，尤其是服務供應商，取得認證意謂著能力的保證，也較容易因此取得客戶的信任。　

反之，IBM作為一個全球以IT管理與利用著稱的企業，自己甚且要提供顧問服務，是不是需要ISO 20000來為其能力背書，就在該公司內部引起過一定爭論。

「最重要的知道你公司需求何在。」黃以任說，不論你的目的是提升員工效率、使IT人力及資源獲得更妥善利用、降低停機損失、提升客戶滿意度、符合法令規定，還是那張認證，她以ITIL而言，V2著重IT基礎架構的運行效率，v3處理的是專案溝通部份，ISO則證明你有此能力看哪個能解決公司的問題就是最好的方法。

如果公司正在進行提升或確保IT服務的專案，或是已有這樣的機制，應該持續原有步伐。已經或正在導入ITIL v2的企業應維持原來計畫，v2與v3因為兩種認證處理的是不同需求，如果你取得ITIL v2認證，也用不著急著去取得最新的v3認證，未來一定會有銜接方案。

回歸需求面
Bottom Line: 視需求而定
和該取得哪個版本一樣，面對眼前—以及未來陸續問世的--如此多的選擇，最終的答案在於你適不適合？
Brian Johnson強調不是每家企業都需要ITIL，而選擇哪一個版本，也是視需求而定。

黃以任指出，不是每家公司都需要ITIL。組織流程很簡單，可能需求就不大。而且每個組織改善的情況也因原有體質差異有所不同。對一個原有服務管理沒有基礎的組織，導入全新ITIL，可見明顯成效，而QMS做得好，距離拿到ISO20000的水準其實只有一步之隔，她說。

另一個原因則是企業組織自行評估後的決定。

ITIL範疇之深之廣，成本過大，讓南亞科技也必須評估導入是不是「是不是該投入80分的力氣去做到剩下的20分」。南亞科技資訊部處長張武煌說，南亞科技也沒有計畫取得ISO 20000的認證，因為「實務效用才是我們重視的。」

像CA的Johnson明白指出，企業仍是最終答案的決定者。「ITIL只是一種指導方針，不是法律…它甚至要求企業必須確認自己的需求，」企業必須知道自己問題在哪，才能找出適合產品及方案，甚至選擇該導入哪個版本的ITIL。「說不定你公司根本也用不著ITIL，」他說。

如果你清楚知道重點暫不在此，就先別做。例如彰化銀行目前正為取得ISO 27001 (BS7799的國際標準版)而積極準備中；目前已有五個系統取得認證，明年七月之前可望全系統獲得認證。彰銀資訊長曾芳明就指出，「事有輕重緩急，對我們而言，資訊安全是目前的當務之急。」

日月光CIO盛敏成則強調ITIL必須以需求為基礎加以客製化。他指出，日月光當初為了做好基礎架構管理而買入ITIL的產品，「事實上，我們也是後來才知道，自己做的是ITIL。」他因此強調流程客製化的重要性，基於對公司需求、流程及資源的了解，日月光是導入「ASE(日月光)版本的ITIL」。

日月光並未取得ITIL認證，也不打算通過ISO認證，他認為，只要透過內部管理就能確保切實執行，無需一紙證照。

結語
ITIL反映新的IT思維--以IT支援商業需求--這種新的思維在技術廠商間則興起SOA（服務導向架構）的風潮。儘管二十年來批評不斷，許多採取折衷立場的人認為，但並非毫無可取，同時隨著版本的更新它也更朝這理想前進。但它畢竟還是"框架" ，它仍舊沒有提出明確的執行方法論，對企業導入的指引有限，他們還是得親自走過一切過程，而不能完全仰賴之，雖然ITIL人士也一再鼓勵企業得先了解自己的需求所在。

面對要不要導入ITIL，一個較保險的作法是，如果你是IT部門，你該自問三點：導入ITIL 1. 對現有訓練的影響；2. 對現有IT專案的影響，及3. 對已買昂貴軟體的影響。如果貴公司正在進行提升或確保IT服務的專案，或是已有這樣的機制，請持續原有步伐。如果你已取得ITIL v2認證，也用不著急著去取得最新的v3認證，未來一定會有銜接方案。

企業老闆也好，CIO也罷，該謹記的是：IT 服務--而非ITIL--才是思考重點。如同IDC研究經理曹永暉表示，不論是ITIL或是COBIT、BS7799，這些都是外來的典範，但不一定完全適合企業，外來的顧問也不一定能告訴你適不適合。一切都要回到實際需求，他說，「最了解需求及作業的，還是公司內部的IT部門。」