筆者認為:「獲得認證對企業最大的壞處在於阻礙企業的進步。」這點與大部分人的認知剛好相反,一般總是認為獲得認證代表這家公司有所進步,所以才能通過認證。剛開始時,也許有些公司會因為要獲得認證而改造其管理系統並且在品質和效率、生產力方面得到改善。對於原本有個爛管理系統的公司,這可能是真的,但是對於其它的公司,這未必成真,從前面的真實故事可以得知。
事實上,對於以獲得認證為目標的公司,除了得到一張證書之外,很少真正在品質和效率、生產力方面獲得改善。因為,為了能快速獲得認證,大多數公司的認證主其事者(例如品質經理、CIO)及其所雇用的顧問都會把重點放在如何湊出一個能通過認證的管理系統,而不是真正著眼於品質及/或效率、生產力的改善。
其做法是將公司現有的流程書面化,東拼西湊、修修補補,如果需要的話,再增加一些在標準中規定必須要有的流程,就完成了。這種做法就像拼拼圖,照著規則進行就好了,所完成的管理系統與原先舊有的管理系統,在本質上差不多,所產生的品質和效率、生產力當然也就差不多。
想要讓公司在品質和效率、生產力方面獲得改善,可不是像拼拼圖這麼簡單,而是藝術,是要經過長期的探索和努力,才會有好作品。拼圖與藝術其間的差異,不可以道里計。拼拼圖很簡單,只要照著規則來,再加上耐心和細心,結果就一樣,就算有幾片拼錯了,整體結果看起來也差不多。藝術可不一樣,專業與不專業,結果差很多。很多人喜歡拼拼圖也很會拼圖,但是對於繪畫、音樂可說是一竅不通。
在獲得認證之後,這張證書很可能就會阻礙企業的進步。
●
雖然每個管理系統標準都會強調持續改善的重要性,但是如果要進行管理系統的改善,特別是大幅度的改善,就意味著要經過一段混亂的時期〔在改善的過程中會造成管理上的混亂,很難避免〕,而這個混亂很可能會延續到下次的後續認證稽核的時候〔有些改善可不是一年半載就能夠完成的,特別是當改善進行不順利的時候〕,因此稽核的結果很可能是收到一堆矯正要求甚至失去證書,這對於這個管理系統的認證主其事者(例如品質經理、CIO)可不是件好事情。
改善未必能夠成功,卻要冒著被K得滿頭包的風險,倒不如不做,公司的進步於是受到阻礙。這特別是對企業文化僵化,太過於強調認證稽核零缺點的公司最容易發生。另外,如果證書對於公司很重要的話〔例如:公司需要這張證書才能參與投標〕,管理階層也很可能選擇不做改變,以免冒失去證書的風險。還有,如果認證稽核的結果發現重大缺點甚至失去證書,並且在市場上廣為流傳的話,就會讓公司失去面子和商譽,管理階層也很可能因此選擇不做改變。
獲得認證也會助長組織的惰性。有些人在適應了之後就不想改變,如果有人想要改變,他們就會以違反標準或可能危及認證為由,反對改變。雖然標準的條文要求很少是僵化的,但是他們總能僵化地解釋標準的條文要求,拿著雞毛當令箭,反對一切的改變。〔公司仍然繼續成長,管理也上軌道,何必自找麻煩?有這種想法的公司,總是要在發生大麻煩之後,才會考慮改變。〕
如果公司把獲得認證當作目標,既然達到了目標,也就失去了進步的動力,最多只能維持當初獲得認證的能力(品質和效率、生產力),無法更進一步。
●
有些人也許會認為認證公司的稽核人員在稽核的過程中,可以幫他們找出有問題的領域並且提供改善的建議,這樣就能夠促使公司改善、進步。這可能誤解了認證公司稽核人員的使命:稽核人員只是就被認證公司其管理系統是否符合某個標準的條文要求這一點來進行稽核,如果沒有符合則提出矯正要求,促使被認證公司改正。所以,被認證公司如果按照稽核人員的要求進行改正,最多只是維持本身原本具有的品質和效率、生產力,不會有真正的改善、進步。
稽核人員不會、也不應該提供建議,因為這牽涉到稽核的獨立性。要是被認證公司接受稽核人員的建議並且據以實行,結果在稽核時卻發現這樣做有問題,稽核人員要何以自處?要通過認證於理不合,不通過認證卻又自打嘴巴。這種情況會讓稽核人員失去獨立性,因而認證就會產生問題。
事實上,稽核人員也沒有義務提供建議。一般而言,以認證公司與被認證公司之間合約的稽核人天數,根本不夠稽核人員仔細觀察、評估其所稽核的管理系統,然後據以提供可靠、可行的改善建議。如果有人認為只要付出少少的稽核費用,就能夠獲得足以讓公司據以進行有效改善的建議,那實在是有點不切實際。
●
很多公司把獲得認證當作目標,在這種情況下,如果公司因為認為已經達到認證這個目標或是因為種種的、例如前面所提到的原因,而沒有持續地進步、改善,那麼很可能就會無法達到其對顧客/使用者的承諾。〔理論上,獲得例如ISO 9000、ISO 27000、ISO 20000、CMMI的認證,證明公司已經建立了一個管理系統,而這個管理系統理當能夠讓公司達到其對顧客/使用者的承諾。〕
這聽起來有點矛盾,但事實就是如此。因為,顧客/使用者的需求時時刻刻在改變,並且總是會要求更高的品質和效率、生產力,如果公司沒有持續地進步、改善,勢必無法達到對顧客/使用者的承諾〔理論上,如果無法達到對顧客/使用者的承諾,公司就不應該接受顧客的合約,但是這與真實世界的運作不符〕。這也是為什麼會有那麼多獲得認證的公司,還是無法達到對顧客/使用者的承諾而遭受批評的主要原因。
企業不應該把獲得認證當作目標,獲得認證只是為了行銷的目的而採用的手段。企業應該把目標放在品質和效率、生產力的改善、進步上。企業應該把管理系統當成工具,利用管理系統來達到其對顧客/使用者的承諾及/或其所想要的產品/服務品質,並且持續地改善這個管理系統,讓企業能更有效並且更有效率地達到目標或是達到更高的目標。
●
有些公司則是想藉由符合某個標準或某些標準的條文要求,來幫助自己建立管理系統。這些公司的管理階層把公司應該建立什麼樣的管理系統依賴在某個標準或某些標準之上,也等於放棄對於如何管理公司的思考。對於這樣的做法,我們只能說這些公司的管理階層不想花時間、傷腦筋去思考如何管理公司,甚至根本不知道如何管理公司。
這種認為根據某個標準或某些標準來建立管理系統,就已經完成管理公司的責任的想法,恐怕會讓制定標準的人嚇一跳。筆者在多年前剛接觸ISO 9000時,來自英國的專家就不斷地強調〔當然,這些人到底是不是專家,有時候會令人懷疑〕,千萬不要把ISO 9000當成萬靈丹,可以解決所有品質管理方面的問題。他們怕的就是有人太過於依賴ISO 9000,反而造成反效果。
〔ISO 27000、ISO 20000與ISO 9000一樣,都是來自於英國標準:ISO 27000來自於BS 7799,ISO 20000來自於BS 15000、ITIL,而ISO 9000來自於BS 5750。基本上,我們可以把ISO 27000看成是ISO 9000管理系統再加上對於資訊安全方面的考量,把ISO 20000看成是ISO 9000管理系統再加上對於IT服務管理方面的考量。事實上,自從BS 5750成為ISO 9000並且在全球被廣為接受之後,英國就擁有了國際標準組織(ISO)所發行的各種管理系統標準的控制權。〕
筆者並不是說這些標準的內容不好,事實上,這些標準的條文要求是經過許多專家的討論,並且在實務上經過充分驗證,千錘百鍊,才能夠納入標準之中。只是為了寫成一個管理系統的標準,其內容就會變成很有彈性,以適應各種不同公司的各種不同狀況,所以,也就有各種不同的路可以達到標準的條文要求。
而公司如果只想要藉由符合某個標準或某些標準的條文要求,來幫助自己建立管理系統的話,通常就會選擇一條最容易的路。而這條最容易的路通常也是大家所選取的路,而這也意味著,公司所建立的管理系統與其它一般公司的管理系統差異不大,也就沒有辦法替公司創造出競爭優勢,甚至還會處於劣勢。
筆者舉下面兩個故事以供參考:
《未完待續》
《《《《《《《《《《《《《《《《》》》》》》》》》》》》》》》》》
資訊和通訊科技基礎建設的浮現,對企業界人士產生各種不同的衝擊,例如:
l 如果你是高階經理人,你如何讓企業和ICT(資訊和通訊科技)的策略和目標結盟,以提升企業的競爭優勢?你應該作成哪些與ICT相關的決策,而不會讓ICT花費大筆的預算,卻達不到你想要的結果?
l 如果你是資訊長,你如何擬定ICT的策略和目標,與事業單位溝通,建立ICT組織,扮演好ICT的角色,以提升企業的競爭優勢,而不會被批評為只是花錢的單位,毫無貢獻?
l 如果你是資訊部門經理,你如何根據企業的ICT策略和目標,建立相關的流程和組織,例如:服務中心、意外事件管理流程、異動管理流程、資訊安全管理流程等等,並且據以實行,以達成ICT目標?
l 如果你是系統、網路、應用軟體管理、設計、開發、操作人員,你如何將自己從技術人員提升到管理人員,對企業整體的ICT基礎建設及其管理有一個全面的了解,從而提升自己在公司的地位?
l 如果你從事於資訊服務業,你如何管理本身和顧客的ICT基礎建設、如何擬定合理的價格、如何與顧客談判服務水準並且擬定服務水準協定(SLA)?
龍山顧問所出版的《資訊和通訊科技基礎建設管理系統》一書能夠提供上述問題的解答、滿足你的需求,詳情請參考龍山顧問(http://www.longshine.tw/)所出版的《資訊和通訊科技基礎建設管理系統》一書的目錄。本書內容包含章節:
1. 資訊和通訊科技基礎建設的演進,
2. 資訊和通訊科技基礎建設與價值鏈,
3. 資訊和通訊科技基礎建設與電子商務,
4. 資訊和通訊科技基礎建設管理系統模式,
5. 企業和ICT的策略和目標,
6. ICT基礎建設和管理系統規劃和實行,
7. 服務中心(The Service Desk),
8. 意外事件管理(Incident Management),
9. 問題管理(Problem Management),
10. 建構管理(Configuration Management),
11. 異動管理(Change Management),
12. 上線管理(Release Management),
13. 服務水準管理(SLM, Service Level Management),
14. ICT服務的財務管理(Financial Management for ICT Services),
15. 容量管理(Capacity Management),
16. ICT服務連續性管理(ICTSCM, ICT Service Continuity Management),
17. 可利用性管理(Availability Management),
18. 應用軟體管理(Application Management),
19. ICT基礎設施管理(ICTIM, ICT Infrastructure Management),
20. 資訊安全管理(Security Management)。
沒有留言:
張貼留言